Toon items op tag: Politiek

"Vandaag bespreekt de Tweede Kamer een wetsvoorstel dat zó ingrijpend is, zó ontoereikend en zó belangrijk, dat het beter is als de Kamer het uitstelt tot na de verkiezingen. Op de nieuwe wet op de Inlichtingen- en Veiligheidsdiensten is in de voorfase al veel kritiek geweest en er zijn al zo veel veranderingen aangebracht dat het wetsvoorstel niet kan overtuigen. Doorslaggevend zijn de breedte en de kwaliteit van de adviezen die onder meer de huidige Commissie van Toezicht op de Inlichtingen en Veiligheidsdiensten (CTIVD) nog onlangs leverde. Maar ook de open brief die 25 academici aan de Kamer schreven weegt zwaar. Die komt bovenop kritische reacties die eerder al de Raad van State en het College Bescherming Persoonsgegevens gaven. En bovenop de alarmkreten uit het veld. Privacy First sprak van een „totalitair voorstel”, Amnesty noemde het „onnodig en zorgelijk”.

Zolang de CTIVD echter stelt dat de voorgestelde onderscheppingsmogelijkheden van digitaal verkeer onvoldoende zijn ingeperkt, dat de belangen van derden onvoldoende meewegen, de omvang van de afgetapte data niet snel genoeg wordt beperkt en de kwaliteit van de dataverzameling onvoldoende zeker is – dan is aanvaarding van zo’n wetsvoorstel eigenlijk niet goed denkbaar. Althans dat zou zo moeten zijn.

Ook de chaotische manier waarop het toezicht op de nieuwe bevoegdheden zal worden geregeld, schept geen vertrouwen. De CTIVD zegt dat het kabinet een „gelaagd en complex stelsel” introduceert, door toetsing, toezicht en klachtbehandeling bij aparte instanties onder te brengen. De 25 academici adviseerden al één gespecialiseerde rechter aan te wijzen en de mogelijkheid te openen een „publieke advocaat” aan te wijzen. Die zou moeten adviseren over aftappen als er zware publieke belangen een rol spelen, of de belangen van verschoningsgerechtigden, zoals advocaten en journalisten in het spel zijn.

Mogelijk nog zwaarder weegt de veel te ruim geformuleerde macht die de veiligheidsdiensten krijgen om grote hoeveelheden communicatiedata in bulk af te tappen, drie jaar (!) op te slaan, te monitoren en vervolgens uit te wisselen met buitenlandse diensten. Dat zoiets in beginsel moet kunnen, is nog wel enigszins te billijken – de tijden van post, telefoon en telegrafie zijn wel voorbij. Maar het is alleen acceptabel als het is ingesnoerd in een stelsel van vernietigingsplichten, scherpe selectie op relevantie en harde eisen aan doel en duidelijkheid. Naar de mening van de meeste deskundigen ontbreekt dat nu. Dan is het geen schande om een dergelijk wetsvoorstel terug te sturen. Of terug te nemen."

Bron: NRC Handelsblad 8 februari 2017, p. 2; NRC Next 8 februari 2017, p. 30. Tevens online beschikbaar op https://www.nrc.nl/nieuws/2017/02/08/wet-inlichtingendiensten-is-even-ingrijpend-als-onrijp-6588317-a1544947.

Op 8 februari as. debatteert de Tweede Kamer met minister Plasterk (Binnenlandse Zaken) over een wetsvoorstel waardoor de privacy van iedereen in Nederland geschonden dreigt te kunnen worden: de nieuwe Wet op de inlichtingen- en veiligheidsdiensten. In dat kader verzond Stichting Privacy First vandaag een kritische brief aan de Tweede Kamer met ons commentaar op het huidige wetsvoorstel. Hieronder volgt de gehele tekst van onze brief (klik HIER voor de originele versie in pdf):

Geachte Kamerleden,

Volgende week zult u met de Minister van Binnenlandse Zaken in debat gaan over een – in onze ogen – uiterst totalitair wetsvoorstel: de nieuwe wet op de inlichtingen- en veiligheidsdiensten (Wiv). Zonder acute urgentie wordt dit wetsvoorstel momenteel onder hoge druk door het parlement behandeld.

Talloze bezwaren van gezaghebbende adviesorganen zoals de Raad van State, de Autoriteit Persoonsgegevens, de Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten (CTIVD), het College voor de Rechten van de Mens, de Raad voor de Rechtspraak en zelfs de continentale Raad van Europa zijn daarbij tot nu toe in de wind geslagen. Waarschuwingen vanuit wetenschap en bedrijfsleven worden structureel genegeerd. Onlangs organiseerde uw Kamer weliswaar een ‘hoorzitting’ rond het wetsvoorstel, maar tegenstanders van het wetsvoorstel waren daarbij niet welkom. Privacy First acht de parlementaire behandeling van dit wetsvoorstel tot op heden dan ook onvoldoende kritisch van opzet.

Wij zullen hieronder onze meest fundamentele bezwaren tegen dit wetsvoorstel daarom opnieuw voor u uiteenzetten en cruciale aanbevelingen doen.

Sleepnetbevoegdheid en bewaartermijn

Onder het huidige wetsvoorstel krijgen AIVD en MIVD de bevoegdheid om het internet grootschalig af te tappen, massaal te monitoren en de vergaarde data jarenlang op te slaan voor eventueel later gebruik of internationale uitwisseling, oftewel een digitaal sleepnet met onvoorzienbare afmetingen, doelen, gevolgen en neveneffecten. In ambtenarenjargon heet deze bevoegdheid “OnderzoeksOpdrachtGerichte interceptie” (OOG). Terecht noemde de Autoriteit Persoonsgegevens dit “het eufemisme van het jaar”. Deze bevoegdheid zal immers het ‘alziende oog’ van de Nederlandse rijksoverheid gaan vormen. Dit past niet in een democratische rechtsstaat.

De internationaalrechtelijk vereiste maatschappelijke noodzaak (art. 8 EVRM) van deze bevoegdheid is tot op heden onaangetoond. Reeds hierom acht Privacy First de invoering ervan onrechtmatig. Naar alle maatstaven is deze bevoegdheid bovendien volstrekt disproportioneel en niet in lijn met het vereiste van subsidiariteit (d.w.z. het verplicht gebruikmaken van het lichtste, meest privacyvriendelijke middel om een legitiem doel te bereiken).

Daarnaast is een dergelijke bevoegdheid tot op heden niet aantoonbaar effectief (laat staan efficiënt) en wellicht juist contra-productief wegens de enorme overload aan irrelevante data. Volstaan zou dan ook kunnen en moeten worden met targeted en tijdelijke surveillance van relevante individuen en groepen, waarbij de rest van de maatschappij met rust gelaten wordt. Dergelijke surveillance dient altijd zo gericht mogelijk te zijn en gepaard te gaan met strikte, bij wet voorziene, concrete waarborgen tegen misbruik. Dergelijke waarborgen ontbreken vrijwel volledig in het huidige wetsvoorstel. Dit wetsvoorstel dient daarom verworpen te worden.

Illegale bewaartermijn

Onlangs oordeelde het Europees Hof van Justitie dat overheden nimmer gerechtigd zijn om data van onschuldige burgers massaal te (laten) verzamelen en op te slaan voor eventueel later gebruik in het veiligheidsdomein.[1] Het Hof baseerde zich hierbij mede op art. 8 EVRM (het recht op privacy). De opslagtermijn van 3 jaar in het huidige wetsvoorstel is hierdoor juridisch onhoudbaar en dient per direct uit het wetsvoorstel te worden geschrapt. Bij gebreke hiervan verwacht Privacy First dat deze bewaartermijn (evenals de massale tapbevoegdheid zelf) door het Europees Hof voor de Rechten van de Mens onrechtmatig verklaard zal worden.

Internationale uitwisseling van bulk-data

Privacy First herhaalt hierbij haar fundamentele bezwaar tegen internationale uitwisseling van ongeëvalueerde bulk-data. Dergelijke uitwisseling overschrijdt alle juridische, ethische en morele grenzen, in elk geval waar het de data van een onschuldige burgerbevolking betreft. Privacy First verwacht dan ook dat deze bevoegdheid geen stand zal houden bij een internationale of Europese rechter en dringt er hierbij op aan om deze bevoegdheid te schrappen of grondig in te perken en van extra waarborgen te voorzien, waaronder een bindende rechtmatigheidstoets vooraf per geval.

Binnenkort zal het Hof Den Haag uitspraak doen over de kwestie van internationale uitwisseling tussen geheime diensten in de rechtszaak Burgers tegen Plasterk van Privacy First c.s. tegen de Nederlandse Staat. Tevens hebben Privacy First c.s. als derde partijen geïntervenieerd in de vergelijkbare Britse zaak van Big Brother Watch tegen het Verenigd Koninkrijk bij het Europees Hof voor de Rechten van de Mens. Privacy First ziet de uitspraken van beide hoven met vertrouwen tegemoet.

Databanken van derde partijen

De bevoegdheden tot het opvragen en gebruiken van gegevens zijn in het huidige wetsvoorstel vrijwel onbegrensd. Het voorstel maakt daartoe zelfs directe, automatische toegang tot de databanken van de gehele publieke en private sector (overheid én bedrijfsleven) mogelijk. Bij al deze derde partijen zullen bovendien ook complete databanken opgevraagd kunnen worden. Dit alles ten behoeve van heimelijke koppeling, datamining en profiling, waarmee real-time een uiterst gedetailleerd (zelfs voorspellend) beeld van groepen en individuen kan worden gecreëerd. Privacy First verzoekt uw Kamer hierbij met klem om deze bevoegdheden te schrappen of grondig in te perken en van wettelijke waarborgen tegen misbruik te voorzien, waaronder bindend rechtmatigheidstoezicht vooraf.

Hack-bevoegdheid en decryptiebevel

“De diensten dienen zo gericht mogelijk te werken en niet door middel van decryptie de digitale veiligheid van grote groepen gebruikers te ondermijnen”, zo schrijft de Minister terecht in de nota bij het wetsvoorstel.[2] De bevoegdheid om systemen van onschuldige derden (burgers en bedrijven) te kunnen hacken om zo een target te kunnen bereiken acht Privacy First echter te verregaand. Om deze reden is een dergelijke bevoegdheid in het domein van politie en justitie reeds uit het wetsvoorstel Computercriminaliteit III geschrapt. Niet valt in te zien waarom deze bevoegdheid desondanks wel aan AIVD en MIVD zou moeten toekomen. De huidige (reeds bestaande) bevoegdheid om systemen en communicatie van individuele targets te kunnen hacken acht Privacy First afdoende.

Bedrijven hebben het recht om hun systemen zo in te richten dat aan een decryptiebevel niet kan worden voldaan wegens de technische onmogelijkheid daarvan, bijvoorbeeld door gebrek aan sleutels. In minder democratische tijden en contreien kan dit recht voor bedrijven tevens omslaan in een maatschappelijke plicht, bijvoorbeeld om als bedrijf niet medeplichtig te worden aan onrechtmatige opsporing en vervolging. In de optiek van Privacy First dienen systemen bovendien zodanig te worden ontwikkeld dat hacking vrijwel onmogelijk is en de schade van een eventuele hack altijd zo beperkt mogelijk zal blijven. Privacy by design vergt immers niet louter de beste encryptie maar ook de beste compartimentering. Bovenstaande geldt mede ter verduidelijking van recente ongenuanceerde berichtgeving over het standpunt van Privacy First door de Telegraaf.[3]

Strafbare feiten

Privacy First herhaalt hierbij haar zorg over het feit dat de ongenormeerde bevoegdheid voor agenten om strafbare feiten te mogen plegen ongemoeid wordt gelaten. In de huidige Wiv uit 2002 bestaat de mogelijkheid tot nadere normering middels een Algemene Maatregel van Bestuur (AMvB). De Commissie Dessens adviseerde die AMvB alsnog in te voeren, maar het kabinet maakt dit onmogelijk door de grondslag voor de betreffende AMvB uit de wet te verwijderen. Met een ongewisse politieke toekomst in het verschiet is dit voor de Nederlandse bevolking uiterst onwenselijk en gevaarlijk.

Notificatieplicht

In het huidige wetsvoorstel blijft de notificatieplicht slechts gelden voor individuele burgers en niet (ook) voor organisaties die evengoed targets kunnen zijn geweest. Naar aanleiding van eerdere kritiek hierop van Privacy First stelt de Minister in de memorie van toelichting bij het wetsvoorstel hierover het volgende: “De notificatieplicht vervult een rol in het kader van het bieden van rechtsbescherming aan de burgers tegen inbreuken op enkele specifiek aan hen toekomende grondrechten. De invoering van de notificatieplicht die ook geldt voor organisaties wordt (...) dan ook niet overwogen.”[4] Dit is aperte onzin. Het recht op privacy en (met name) het recht op vertrouwelijke communicatie gelden immers ook voor rechtspersonen en organisaties als zodanig (waaronder stichtingen, verenigingen en bedrijven), zeker in de context van dit wetsvoorstel.

Verschoningsgerechtigden

In het huidige wetsvoorstel krijgen advocaten en journalisten (terecht) extra bescherming middels voorafgaande toetsing door de rechtbank Den Haag bij de inzet van bijzondere bevoegdheden jegens hen. Privacy First adviseert om deze rechterlijke bescherming uit te breiden naar alle groepen verschoningsgerechtigden, waaronder artsen, notarissen en geestelijken. Tevens dient te worden voorzien in aanvullende waarborgen voor journalistieke bronbescherming.

Toezicht

Conform ons eerdere advies is Privacy First in principe positief over het nieuwe bindende rechtmatigheidstoezicht vooraf bij de uitoefening van bevoegdheden door AIVD en MIVD. Privacy First herhaalt hierbij echter dat dergelijke toetsing vooraf dient te gelden bij de uitoefening van álle bijzondere bevoegdheden door de diensten. Al het toezicht vooraf, tijdens en achteraf dient bovendien grondig en volledig te zijn; in geen geval mag sprake blijken van oppervlakkige rubber-stamping of toezichtshiaten. Daarnaast is Privacy First positief over de invoering van bindend klachtrecht voor burgers en organisaties, hetzij bij de nationale Ombudsman, hetzij bij de CTIVD, waarbij Privacy First een voorkeur heeft voor staatsrechtelijke positionering van het klachtinstituut als Hoog College van Staat aangezien dit de onafhankelijkheid ervan versterkt en bestendigt. In navolging van de CTIVD zou Privacy First overigens graag bevestigd zien dat dit klachtrecht ook door relevante maatschappelijke organisaties zal kunnen worden uitgeoefend in het algemeen belang (algemeen-belangactie) en/of namens een specifieke groep personen (groepsactie), ook indien voor die personen een individueel klachtrecht openstaat.[5] Dit is reeds staande praktijk bij de nationale Ombudsman en bevordert de effectiviteit en efficiëntie van de klachtenprocedure. Tevens zou Privacy First graag expliciet bevestigd zien dat deze nieuwe, quasi-rechterlijke procedure niet zal leiden tot niet-ontvankelijkheid van personen en organisaties met betrekking tot vergelijkbare rechtsvragen in relevante procedures bij de rechterlijke macht.

Actieve openbaarheid

Privacy First adviseert opnieuw om het wetsvoorstel alsnog te voorzien van een bepaling ter actieve openbaarmaking van (historische) documenten van de diensten. De praktijk van "declassification and transparency" in andere landen (waaronder voorheen de Verenigde Staten) kan in dit opzicht een bron van inspiratie vormen.

Peaceful use of cyberspace

In de recente nota van de Minister bij het wetsvoorstel schrijft deze dat “voor Defensie cyberspace het vijfde domein voor militair optreden geworden is (naast land, zee, lucht en de ruimte).”[6] Privacy First herinnert u hierbij graag aan het feit dat de ruimte in juridische zin geen militair domein is; hier geldt immers het internationaal recht van peaceful use of outer space. In onze optiek zou in cyberspace een vergelijkbaar internationaal regime van peaceful use dienen te gelden. Als ‘international legal capital’ zou Den Haag zich hier bij uitstek sterk voor kunnen maken.

Wetsvoorstel dient controversieel verklaard te worden

Een wetsvoorstel met een dusdanige (potentiële) impact op onze samenleving dient weldoordacht te zijn en de best mogelijke waarborgen te bevatten tegen onvoorzien gebruik en toekomstig misbruik. Bij het huidige wetsvoorstel is dit niet het geval. Privacy First adviseert u daarom om dit wetsvoorstel te verbeteren of te verwerpen, danwel het gehele wetsvoorstel controversieel te verklaren en het desgewenst alsnog grondig en kritisch te behandelen tijdens een volgende kabinetsperiode. Bij gebreke hiervan behoudt Privacy First zich het recht voor om het huidige wetsvoorstel, zodra van kracht, door de rechter te laten toetsen en onrechtmatig te laten verklaren.

Voor nadere informatie of vragen met betrekking tot bovenstaande is Privacy First te allen tijde bereikbaar op telefoonnummer 020-8100279 of per email: Dit e-mailadres wordt beveiligd tegen spambots. JavaScript dient ingeschakeld te zijn om het te bekijken..

Hoogachtend,

Stichting Privacy First

[1] Zie HvJ 21 december 2016, gevoegde zaken C‑203/15 & C‑698/15 (Tele2 Sverige et al.), ECLI:EU:C:2016:970.

[2] Nota naar aanleiding van het verslag, Kamerstukken II 2016-2017, 34588, nr. 18, p. 66.

[3] Zie http://www.telegraaf.nl/binnenland/27260664/__Privacywaakhond_vindt_dat_kraken_WhatsApp _mag__.html (18 december 2016).

[4] Memorie van toelichting bij wet op de inlichtingen- en veiligheidsdiensten, Kamerstukken II 2016-2017, 34588, nr. 3, pp. 241-242.

[5] Zie CTIVD, Zienswijze op het wetsvoorstel voor een nieuwe wet op de inlichtingen- en veiligheidsdiensten d.d. 9 november 2016, Bijlage II (Kwaliteitsverbeteringen), p. 6.

[6] Nota naar aanleiding van het verslag, Kamerstukken II 2016-2017, 34588, nr. 18, p. 11.

Stichting Privacy First nodigt u graag uit voor haar Nieuwjaarsreceptie! Deze zal plaatsvinden op donderdagavond 19 januari as. op onze kantoorlocatie in Amsterdam. De avond zal grotendeels in het teken staan van de Shared Democracy: na Athene (democratie 1.0) en onze huidige 19e-eeuwse parlementaire democratie (2.0) is het in de optiek van Privacy First hoog tijd voor verdere vernieuwing en burgerparticipatie: Shared Democracy, democratie 3.0! In zijn Nieuwjaarstoespraak zal Privacy First voorzitter Bas Filippini hier onze visie op geven. Vervolgens vertelt ICT-onderzoeker Brenno de Winter over de problemen rond privacy, informatiebeveiliging en de huidige kloof tussen burger en bestuur. In zijn nieuwe boek Digitale Stormvloed legt hij pijnlijk bloot hoe informatiebeveiliging en privacybescherming tekortschieten en hoe we als samenleving kunnen sturen naar werkbare oplossingen.

Hoe kunnen we de Shared Democracy gebruiken om oplossingen te verwezenlijken? Graag gaan wij hierover met u in debat om gezamenlijk tot mogelijke antwoorden te komen, gevolgd door een borrel waar wij samen kunnen proosten op een privacyvriendelijk 2017!

Iedereen is welkom, toegang is gratis. Donaties aan Privacy First worden echter zeer op prijs gesteld. Aanmelden kan via Dit e-mailadres wordt beveiligd tegen spambots. JavaScript dient ingeschakeld te zijn om het te bekijken., maar is niet verplicht.

Datum: donderdag 19 januari 2017, 20.00-22.00u (inloop vanaf 19.30u).
Locatie: Volkshotel, Wibautstraat 150 te Amsterdam (Betonnen Zaal, begane grond). Een routebeschrijving vindt u op www.volkshotel.nl/nl/#locatie.

Klik HIER voor de uitnodiging zoals Privacy First die onlangs aan haar netwerk verzond (pdf). Wilt u voortaan directe uitnodigingen voor onze evenementen ontvangen? Mail ons! Dan voegen wij u toe aan onze mailinglist.

De campagne Specifieke Toestemming van Privacy First en het Platform Bescherming Burgerrechten maakt na drie jaar actie de balans op.

Na bijna drie jaar actie te hebben gevoerd tegen de nieuwe EPD-wet van minister Schippers, mag onze campagne Specifieke Toestemming een bescheiden maar belangrijk succes vieren. De wet waartegen we hebben gelobbyd, is tot onze spijt aangenomen. Er zijn echter een aantal belangrijke lichtpunten, en nog meer redenen om de komende tijd deze wet en haar gevolgen zeer kritisch te blijven volgen. We beginnen met de lichtpunten:

Onze campagnemissie kreeg brede steun van maatschappelijke organisaties en academici

Een groot aantal maatschappelijke organisaties en academici op het gebied van privacy, ICT en gezondheidszorg onderschrijft de missie van onze campagne al sinds haar lancering. Die brede steun laat zien dat vele organisaties en personen met deskundigheid en statuur onze zorgen delen. Ons standpunt is dan ook verre van controversieel: we strijden om de rechten die patiënten al sinds vanouds hebben in de zorg ook te waarborgen bij het digitaal uitwisselen van medische gegevens. We zijn desalniettemin trots dat we al die tijd namens een grote en relevante groep onze boodschap onder de aandacht hebben kunnen brengen.

We hebben de politieke discussie over patiëntprivacy en toestemming op scherp gesteld

Vanaf haar lancering heeft Specifieke Toestemming een zeer duidelijk onderscheid gemaakt tussen specifieke, rechtmatige toestemming zoals die is vastgelegd in privacywetgeving en mensenrechtenverdragen, en de brede, generieke toestemming die minister Schippers mogelijk wilde maken met dit wetsvoorstel. Daarmee hebben we een belangrijke invloed gehad op hoe er over deze wet is gediscussieerd. Regelmatig werd onze input aangehaald in debatten die Eerste en Tweede Kamerleden met de minister voerden. Ook waren we deel van het expertpanel waarmee de Eerste Kamer in april dit jaar een hoorzitting organiseerde over de privacy-aspecten van de nieuwe EPD-wet.

Voor het eerst sinds de verwerping van het Elektronisch Patiëntendossier (EPD) werd weer een stevig inhoudelijk debat over patiëntprivacy gevoerd. We hopen dat onze campagne een basis heeft gelegd voor een duurzame discussie over hoe vertrouwelijkheid in de zorg in het digitale tijdperk dient te worden gewaarborgd.

Dankzij een cruciale motie blijven privacyvriendelijke alternatieve systemen mogelijk

Met de aanname van de motie-Teunissen, waarvoor we in de laatste dagen van het wetgevingstraject hard hebben gelobbyd, kunnen alternatieve systemen naast het Landelijk Schakelpunt (LSP) blijven bestaan. De regering wordt in de motie verzocht “ervoor zorg te dragen dat toegang tot het medisch dossier niet alleen gecentraliseerd, maar ook decentraal mogelijk zal blijven.”

Er zitten grote risico’s aan een centraal toegangssysteem zoals het LSP, zo waarschuwden hoogleraren tijdens de expertmeetings in de Eerste Kamer. Met de motie-Teunissen blijft het mogelijk om bij elke zorgverlener apart te kunnen aangeven welke gegevens deze met welke andere zorgverleners mag delen – zonder dat dit aan een centraal systeem zoals het LSP is verbonden. Zo voorkom je als patiënt dat je toestemmingen (en dus ook informatie over welke zorgverleners je bezoekt) in een landelijk register worden opgeslagen en blijven ze alleen bij de zorgverlener bewaard.

Er zal uiteraard krachtig op moeten worden toegezien dat de motie ook echt vorm krijgt en uitgevoerd wordt.

Helaas zijn er weinig echte lichtpunten te melden:

In zijn algemeenheid is deze wet een privacydraak die de patiëntprivacy en het medisch beroepsgeheim ondermijnt. Hieronder lichten we toe waarom, en waarop we de komende tijd strak moeten gaan letten.

De “gespecificeerde toestemming” die patiënten straks moeten geven is onbegrijpelijk

Deze wet introduceert een problematische vorm van toestemming: gespecificeerde toestemming. Anders dan de naam doet vermoeden, is deze vorm van toestemming weinig specifiek. Het kan alles betekenen van een ongerichte toestemming om tienduizenden zorgverleners in Nederland inzage in je dossier te geven, tot het beschikbaar stellen van een doktersrecept voor de apotheker om de hoek.

Gespecificeerde toestemming creëert de mogelijkheid om patiënten een vage toestemmingsvraag te stellen met onoverzichtelijke gevolgen. Een voorbeeld daarvan kan nu al worden gevonden in de folders die VZVZ verspreidt voor deelname aan het LSP. Mensen worden geregeld een opt-in formulier onder de neus geschoven met het verzoek te tekenen omdat anders de medicatieveiligheid niet gegarandeerd zou kunnen worden. Vergelijkbare risico’s voorzien we voor het nog te introduceren online patiëntenportaal, waarmee patiënten straks zelf de regie zouden moeten voeren over wie hun medische gegevens kunnen inzien. Hoe geïnformeerd is de toestemming die patiënten geven? Hoe wordt voorkomen dat men uit onwetendheid of “voor de zekerheid” maar een brede, ongerichte toestemming geeft? De praktijk van “gespecificeerde toestemming” zal scherp in de gaten gehouden moeten worden.

Overigens staat nog niet eens vast of de patiënt in de praktijk echt zo’n specifieke keus zal kunnen maken. De minister heeft het er zelf vooral over dat toestemming gegeven moet kunnen worden voor categorieën van zorgverleners. De huidige systemen (lees: het LSP) zijn niet uitgerust om iets anders dan generieke toestemming te geven en ICT-partijen en zorgkoepels moeten de komende drie jaar “gespecificeerde toestemming” vormgeven en implementeren – tot nog toe lijken deze partijen de toestemming steeds zo ruim mogelijk te willen maken. We bevelen de Tweede Kamer daarom met klem aan om dit traject kritisch te volgen. Om te voldoen aan de motie-Bredenoord (D66) zouden zowel de juridische uitwerking van “gespecificeerde toestemming” als de implementatie ervan onderwerp moeten zijn van Privacy Impact Assessments en de eisen zoals geformuleerd in de motie-Franken (2011).

De komende drie jaar wordt het uit de wet geschrapte Generieke Toestemming gedoogd

In de drie jaar dat “gespecificeerde toestemming” moet worden uitgewerkt en geïmplementeerd, wil de minister dat patiënten generieke toestemming kunnen geven: de toestemmingsvorm die de Tweede Kamer juist uit het wetsvoorstel schrapte. Dit plan diende minister Schippers zelf nog in tijdens de behandeling in de Senaat. Een kwalijke zaak waartegen Specifieke Toestemming fel heeft geageerd.

Hierdoor krijgt het LSP, dat zo ongeveer alles waartegen Specifieke Toestemming campagne voert in de praktijk brengt, ruim baan. Ook zullen de generieke toestemmingen die in de komende drie jaar worden gegeven naderhand geldig blijven. In de praktijk zal dit plan er dan ook op neerkomen dat VZVZ deze periode kan gebruiken om zoveel mogelijk patiënten met een brede generieke toestemming te laten deelnemen aan het LSP. De monopoliepositie van dit systeem zal dan binnen niet al te lange tijd een voldongen feit zijn.

Specifieke toestemming blijft echter een fundamenteel recht, vastgelegd in artikel 8 van het EVRM. Daar verandert de invoering van bredere toestemmingsvormen niets aan. Daarom is het ook zo kwalijk dat het LSP, een systeem dat enkel met generieke toestemming werkt, nu vrij doorgang krijgt. Er moet op worden toegezien dat ook na de invoering van dit wetsvoorstel het mogelijk blijft om specifiek toestemming te verlenen. Om dat recht op te eisen, is het nog steeds mogelijk om vanaf de website van Specifieke Toestemming een zeggenschapsbrief naar uw zorgverlener te sturen.

Het digitaal inzage- en afschriftrecht verklaart de patiëntprivacy vogelvrij

Tot slot hebben we grote bedenkingen bij het nieuwe recht van de patiënt om online een kopie van het medisch dossier te downloaden of dit in één keer te uploaden naar de cloud. Zonder de dossierhoudend arts (die een beroepsgeheim heeft) als tussenpersoon lopen patiënten een groot risico om hun medische gegevens zonder veel nadenken, met een druk op de knop af te staan aan partijen die niet gebonden zijn aan het beroepsgeheim. Zowel de LHV als de KNMG hebben reeds aangegeven grote risico’s te zien in een dergelijke achterdeur naar het medisch dossier.

De Tweede Kamer zou de implementatie van het online patiëntenportaal, dat ook toegang gaat geven tot de digitale kopie van het medisch dossier, daarom ook zeer kritisch moeten volgen.

Andere zaken om de komende tijd in de gaten te houden:

VP Huisartsen voert een rechtszaak tegen de landelijke uitrol van het LSP. De bodemprocedure startte in 2014 en momenteel loopt de cassatiezaak bij de Hoge Raad. In deze zaak speelt ook de toestemming die patiënten in het LSP kunnen geven een belangrijke rol.

Wetsvoorstel 33980 geeft zorgverzekeraars de bevoegdheid om bij een vermoeden van fraude het medisch dossier bij zorgverleners op te eisen. Dit alles zonder voorafgaande toestemming van de patiënt. Een onnodige en disproportionele inbreuk op de patiëntprivacy. PrivacyBarometer heeft een brievenactie waaraan iedereen zou moeten meedoen.

De Autoriteit Persoonsgegevens (AP) moet intensiever toezien op de uitwisseling van medische gegevens, zo stelt een motie van de Eerste Kamer. We maken ons echter grote zorgen over hoe de toezichthouder deze taak inhoudelijk zal opvatten. In de afgelopen jaren heeft de AP juist het LSP gefaciliteerd, door goedkeuring te verlenen aan de private uitrol van het systeem.

"De Tweede Kamer heeft vandaag ingestemd met een omstreden wet waarmee de kentekens van auto's worden geregistreerd en voor vier weken worden opgeslagen. Burgerrechtenorganisatie Privacy First vindt het een 'massale privacyschending'.

Camera's langs wegen registeren kentekens van passerende voertuigen. De kentekens worden vervolgens in een database van de opsporingsdiensten ingevoerd, waarmee mensen die worden gezocht sneller kunnen worden opgespoord.

Vier weken

Het zogeheten Automatic NumberPlate Recognition (ANPR)-systeem wordt al jaren ingezet, maar de kentekens van onschuldige burgers moeten wel binnen 24 uur worden gewist. Met de nieuwe wet wordt die bewaartermijn verlengd naar vier weken.

De conceptwet is omstreden. Zo oordeelde de privacywaakhond Autoriteit Persoonsgegevens al in 2011 dat de bewaartermijn van vier weken veel te lang is: er zou een 'hooiberg van politiegegevens' worden gecreëerd.

'Volstrekt disproportioneel'

Door de nieuwe wet wordt iedereen die met de auto reist een verdachte, zo stelt Privacy First. "Dit is totaal niet noodzakelijk, volstrekt disproportioneel en bovendien ook ineffectief. Het wetsvoorstel is daarom in strijd met het recht op privacy en daarmee onrechtmatig", aldus Vincent Böhre van Privacy First.

Böhre zegt dat als het wetsvoorstel ook door de Eerste Kamer wordt aangenomen, Privacy First de Nederlandse Staat voor de Europese rechter gaat slepen om de wet ongedaan te maken.

Het amendement van de VVD om de bewaartermijn te verlengen naar zes maanden werd verworpen."

Bron: http://www.rtlz.nl/algemeen/binnenland/tweede-kamer-stemt-in-met-wet-om-kentekens-te-verzamelen
Zie ook http://nos.nl/artikel/2142103-met-camera-geregistreerde-kentekens-voortaan-een-maand-bewaard.html 
http://www.nu.nl/algemeen/4347919/tweede-kamer-akkoord-met-wetsvoorstel-kentekenregistratie.html 
http://www.autoweek.nl/nieuws/tweede-kamer-akkoord-met-kentekenregistratie/
http://www.ravage-webzine.nl/2016/11/08/kamer-breidt-privacyschending-automobilist-uit/

"De Stichting Privacy First wil niet dat de overheid geregistreerde kentekens langer bewaart dan 24 uur. Minister Van der Steur (Justitie) is van plan om deze termijn verlengen. Privacy First overweegt een gang naar de rechter, zei privacyjurist Vincent Böhre in De Ochtend.

Vanavond debatteert de Tweede Kamer over kentekenregistratie, wat ook wel Automatic Number Plate Recognition (ANPR) wordt genoemd.

Camera's langs de weg filmen constant kentekens, maar deze gegevens moeten nu binnen 24 uur worden verwijderd. Van der Steur wil deze termijn uitbreiden naar vier weken. Vanavond wordt er ook een voorstel van de VVD besproken waarin zelfs gerept wordt over zes maanden.

Iedereen verdacht

Volgens Böhre maakt de uitbreiding van ANPR van elke automobilist "een potentiële verdachte". De overheid bewaart dan eigenlijk je reisbewegingen om opsporing en vervolging makkelijker te maken, zegt Böhre. Volgens de jurist is dat in strijd met de privacy.
(...)

Per ongeluk getekend

In het verleden was een gang naar de rechter al vaker succesvol bij privacyonderwerpen, zoals het bewaren van vingerafdrukken.

Of het VVD-voorstel voor de uitbreiding naar zes maanden het gaat redden is niet duidelijk. De PvdA stond in eerste instantie achter het voorstel, maar de steun is inmiddels ingetrokken. PvdA-Kamerlid Astrid Oosenbrug laat aan De Ochtend weten dat haar handtekening per abuis onder het voorstel stond."

Bron: http://www.nporadio1.nl/homepage/1911-privacy-first-wil-staat-dagen-voor-kentekenregistratie , 2 november 2016. Klik HIER voor het volledige radio-interview.

“Het is te laat voor privacy-by-design bij dit EPD”

Als de Eerste Kamer morgen instemt met minister Schippers’ nieuwe zorgcommunicatiewet, geeft ze alsnog ruim baan aan het Elektronisch Patiëntendossier dat de Eerste Kamer in 2011 unaniem verwierp, met alle privacyschendingen van dien. Als de Senaat zoals ze zelf in een motie stelt echt wil inzetten op privacy-by-design, moet ze het EPD-systeem en dit wetsvoorstel dat het faciliteert verwerpen, aldus de campagne SpecifiekeToestemming.nl.

In 2011 verwierp de Eerste Kamer unaniem het Elektronisch Patiëntendossier (EPD) wegens de enorme privacy- en veiligheidsrisico’s die aan het EPD kleefden. Desondanks is het systeem van het EPD (het Landelijk Schakelpunt, LSP) de laatste jaren privaat doorgestart en volop in gebruik geraakt bij een steeds groter aantal zorgverleners, dit mede onder druk van zorgverzekeraars – die de doorstart ook financieren.

De privacy- en veiligheidsrisico’s van het oorspronkelijke EPD zijn in het huidige LSP echter nog onverminderd aanwezig. Bij de aanleg van ICT-systemen dienen privacy- en securitywaarborgen immers vanaf dag één te worden opgenomen in het ontwerp. Bij het LSP is dit nooit gebeurd, en inmiddels is het hiervoor ook te laat. Reeds om deze reden zou het gebruik van het LSP per direct moeten worden stopgezet en worden vervangen door een privacyvriendelijk alternatief.

Het LSP maakt grootschalige uitwisseling van medische data mogelijk zonder enige controle door de arts en patiënt over wie deze gegevens kan raadplegen voor welk doel. Aanstaande dinsdag stemt de Eerste Kamer over een wetsvoorstel (33509) dat dergelijke controle had moeten verbeteren, maar in werkelijkheid faciliteert deze wet vooral het gebruik van het LSP door de gehele Nederlandse zorgsector.

Het wetsvoorstel verheft generieke toestemming – dat wil zeggen brede en ongerichte uitwisseling van medische gegevens – de komende drie jaar tot de standaard. Daarmee wordt de huidige wettelijk verplichte specifieke uitwisseling van medische gegevens vervangen. Het medisch beroepsgeheim en het recht op medische privacy worden hierdoor in wezen afgeschaft. Zowel de patiënt zelf als de dossierhoudend arts heeft dan immers geen zicht meer op wie voor welke reden inzage pleegt in het medisch dossier. Het ultieme doel van de wet is “eigen regie” door de patiënt, maar het is nog zeer onduidelijk hoe dit vorm moet krijgen; naar verwachting zullen veel patiënten straks gewoon eenmalig voor alle uitwisseling toestemming aanvinken.

Het wetsvoorstel lijkt zo voornamelijk geschreven ter facilitering van grootschalige, centrale infrastructuren, waaronder een nieuw centraal, aan het LSP te koppelen online “patiëntenportaal” en manieren voor burgers om hun hele medisch dossier in een keer – zonder tussenkomst van de arts – te kunnen uploaden naar de cloud. De medische privacy zal hierdoor onmogelijk gegarandeerd kunnen worden. Om deze reden voert de nationale campagne SpecifiekeToestemming.nl (gesteund door Privacy First en het Platform Bescherming Burgerrechten) al jaren actie tegen dit wetsvoorstel. Desondanks dreigt het wetsvoorstel morgen door de Eerste Kamer te worden aangenomen.

Slechts D66 en enkele kleine partijen (waaronder de ChristenUnie) lijken nog het verschil te kunnen gaan maken in de koers die Nederland de komende jaren zal gaan varen. D66 heeft daartoe reeds een motie ingediend voor privacy-by-design. SpecifiekeToestemming.nl woordvoerder Vincent Böhre zegt echter: “Bij het huidige wetsvoorstel is 'privacy by design' een wassen neus: het centrale LSP, maar ook een centraal toestemmingsportaal en privacy-by-design vormen een contradictio in terminis. Daarom dringen wij er nogmaals bij de Kamer op aan het wetsvoorstel te verwerpen.”

Individuele burgers die ook vrezen voor hun medische privacy in een wereld waarin de uitwisseling van medische gegevens straks alleen maar grootschalig en gecentraliseerd of in de cloud kan plaatsvinden, kunnen D66 en andere partijen nu nog aanschrijven via www.specifieketoestemming.nl.

Update 4 oktober 2016: vandaag heeft de Eerste Kamer het wetsvoorstel helaas aangenomen. GroenLinks, SP, Partij voor de Dieren (PvdD) en PVV stemden nadrukkelijk tégen. Enig lichtpuntje tijdens de stemming was een unaniem aangenomen motie van D66 waarin de Eerste Kamer haar voorkeur laat blijken voor decentrale vormen van privacy by design. In dat verband diende PvdD tevens een motie in die gericht is op decentrale i.p.v. centrale toegang tot medische dossiers; de stemming over deze motie zal waarschijnlijk volgende week plaatsvinden. Nader commentaar op e.e.a. volgt op het weblog van SpecifiekeToestemming.nl.  

Update 18 oktober 2016: de stemming over de motie van de PvdD (gewijzigde motie-Teunissen) is op 11 oktober jl. aangehouden en staat inmiddels geagendeerd op dinsdag 25 oktober as.  

Update 25 oktober 2016: vandaag heeft de Eerste Kamer (bij meerderheid) de motie-Teunissen aangenomen. Klik HIER voor de tekst van de motie.

De nieuwe EPD-wet van minister Schippers schept al een jaar verwarring in de Eerste Kamer. Voor patiënt noch arts is het duidelijk wie straks na het geven van toestemming medische gegevens kan raadplegen. Na twee jaar troebele discussie, wil de minister de patiënt het allemaal zelf laten regelen. Daarmee gaat ze ten onrechte de fundamentele privacydiscussie uit de weg.

Het wetsvoorstel dat de juridische basis moet gaan vormen voor het privaat doorgestarte Elektronisch Patiëntendossier (wetsvoorstel 33509) wordt inmiddels al een jaar aangehouden door de Eerste Kamer. De Senaat heeft gegronde twijfels bij het wetsvoorstel, dat onder meer moet gaan regelen hoe een vertrouwelijke behandelrelatie moet worden gewaarborgd bij het digitaal toegankelijk maken van medische gegevens. Begin april jl. nodigden Eerste Kamerleden voor de tweede maal een panel met deskundigen uit die hun commentaar op het wetsvoorstel mochten leveren. SpecifiekeToestemming.nl was één van de genodigden bij deze recente expert-meeting en leverde voorafgaand aan de bijeenkomst schriftelijke input (PDF).

SpecifiekeToestemming.nl

SpecifiekeToestemming.nl is een onafhankelijke campagne die na de indiening van het wetsvoorstel in 2014 werd gelanceerd op initiatief van Stichting Privacy First en het Platform Bescherming Burgerrechten. Kern van deze campagne is dat specifieke toestemming (weer) het leidende beginsel moet worden bij de uitwisseling van medische gegevens. De campagne wordt gesteund door talrijke maatschappelijke organisaties, zorgverleners en andere professionals. 

EPD alsnog van wettelijke basis voorzien

Het huidige wetsvoorstel van minister Schippers is in de eerste plaats bedoeld om het LSP-systeem (Landelijk Schakelpunt) waarvoor de Eerste Kamer de wetgeving in 2011 unaniem verwierp, alsnog van een wettelijke basis te voorzien. SpecifiekeToestemming.nl woordvoerder Vincent Böhre stelde tijdens de expert-meeting: “De infrastructuur van het EPD werd door private partijen doorgestart in de vorm van het Landelijk Schakelpunt. Zo zagen wij het destijds en zo zien wij het nog steeds grotendeels, met alle manco’s die destijds in de infrastructuur zaten en nog steeds zitten. In onze optiek is de infrastructuur te grootschalig en inherent onveilig, met generieke, ongerichte en onbepaalde toestemming.”

SpecifiekeToestemming.nl wijst sinds de indiening van het wetsvoorstel op de onoverzichtelijke toestemming die patiënten volgens de nieuwe EPD-wet kunnen geven. Mede onder druk van deze campagne werd het geven van generieke (brede, ongerichte) toestemming in 2014 door de Tweede Kamer uit de wet gehaald. Een stap in de goede richting.

Gegoochel met termen

Sinds de Tweede Kamer generieke toestemming schrapte, werd de wet echter alleen maar ingewikkelder. Minister Schippers introduceerde een nieuwe vorm van toestemming genaamd “gespecificeerde toestemming”, die veel vragen opriep tijdens de behandeling in de Senaat en de aldaar gehouden expert-meetings. Wie het wetsartikel (15a) over "gespecificeerde toestemming" nauwkeurig bekijkt, moet concluderen dat dit nog steeds een zeer brede, onoverzichtelijke toestemming kan betekenen die de oorspronkelijke bezwaren tegen generieke toestemming niet wegneemt.

Bovendien, zo moest minister Schippers later zelf ook vaststellen, zijn huidige systemen (lees: het LSP) in hun ontwerp niet uitgerust om iets anders dan generieke toestemming mogelijk te maken – zo ook haar eigen “gespecificeerde toestemming”. Totdat dat zover is, wil de minister dat “gedurende een driejarige overgangsperiode een generiek ‘ja’ of ‘nee’ volstaat”, zo schreef ze in december 2015 aan de Eerste Kamer. Met andere woorden: als het aan de minister ligt, wordt generieke toestemming alsnog de standaard wijze van toestemming geven.

Gevoelig punt geraakt

SpecifiekeToestemming.nl schreef hierover een brief aan de Eerste Kamer, waarin ze erop wees dat generieke toestemming, ook voor drie jaar, onacceptabel was, daarbij verwijzend naar het amendement van de Tweede Kamer dat generieke toestemming uit het wetsvoorstel schrapte. In reactie daarop stelde de minister juist weer dat het helemaal niet de bedoeling was dat er generieke toestemming werd gevraagd: “Het is niet zo dat de toestemmingsvraag generiek is. [...] Wel kan het antwoord op de toestemmingsvraag generiek zijn,” aldus de minister. Volgens SpecifiekeToestemming.nl is dit een onbegrijpelijke redenering, die illustreert in welke bochten de uitleg van dit wetsvoorstel moet worden gewrongen om de onoverzichtelijke toestemming die minister Schippers wil invoeren, alsnog te legitimeren. Een generiek antwoord op een specifieke vraag is immers een contradictio in terminis. SpecifiekeToestemming.nl woordvoerder Vincent Böhre zei hierover tijdens de expert-meeting: “Met alle respect, haar brief komt op mij over als gegoochel met termen, waardoor het alleen maar onduidelijker wordt. Wij vinden het standpunt van de minister hierover onbegrijpelijk. We hadden met onze brief aan de Eerste Kamer blijkbaar een gevoelig punt geraakt.”

Volgens minister Schippers is de vraag “mag ik uw medische gegevens toegankelijk maken voor alle op het systeem aangesloten zorgverleners?” overigens een specifieke vraag, zo blijkt uit haar brief. SpecifiekeToestemming.nl is het hier volstrekt mee oneens. Als een patiënt een dergelijke vraag met “ja” beantwoordt, geeft deze immers een brede, ongerichte toestemming waarbij op voorhand niet duidelijk is wie voor welke reden toegang kan krijgen tot welke gegevens – kortom, weinig specifiek.

Overhaast patiëntportaal ingevoerd

De hele discussie over generiek, gespecificeerd en specifiek toestemming vragen of geven wordt door minister Schippers echter gelaten voor wat ze is. In haar laatste uitgebreide brief slaat ze een nieuwe richting in als het gaat om het uiteindelijke doel van deze wet: in de toekomst moet de patiënt de volledige regie krijgen over wie toegang heeft tot welke medische gegevens. Dit moet gaan gebeuren via een online patiëntportaal, zo blijkt uit het voorstel van de minister.

“Wij vinden dat een onverantwoorde verschuiving van de verantwoordelijkheid en ook van de aansprakelijkheid in sommige gevallen”, stelde Böhre hierover tijdens de expertmeeting. De regie over de inhoud en de toegang van het zorgdossier dient volgens SpecifiekeToestemming.nl in de eerste plaats bij arts en patiënt gezamenlijk te blijven, zoals het medisch beroepsgeheim en de wetgeving rondom patiëntprivacy voorschrijven. Als de patiënt dit allemaal zelf moet gaan regelen, krijgt deze een (te) grote verantwoordelijkheid die in de praktijk snel fout kan uitpakken – zowel wat betreft de toegankelijkheid van gegevens, maar ook het niet toegankelijk zijn van gegevens terwijl dat wel nodig is.

De huidige wetgeving regelt dat de arts de patiënt gericht toestemming vraagt, en dat zou het uitgangspunt moeten blijven volgens SpecifiekeToestemming.nl. De zorgverlener is vrijwel altijd beter op de hoogte van welke gegevens relevant zijn voor een zorgvraag, en is bovendien wettelijk en tuchtrechtelijk aansprakelijk voor de kwaliteit en vertrouwelijkheid van deze informatie. Dit is een verantwoordelijkheid die je niet zomaar kunt overdragen aan een patiënt – zeker niet iedere patiënt. Door een portaal met eigen beheer niet als extra mogelijkheid maar als norm te stellen, worden de voordelen van patiënten die hier baat bij hebben ondergesneeuwd door de risico’s van een onverantwoord beheer.

Bovendien ontwijkt Schippers, door volledig in te zetten op eigen regie, de fundamentele discussie over de reikwijdte en overzichtelijkheid van de toestemming, die overigens ook bij de invoering van een patiëntenportaal noodzakelijk is. Voor zo’n toepassing, die plaatsvindt buiten de directe zorg, zou alleen al een apart wetsvoorstel moeten worden geschreven. Het wetsvoorstel zoals minister Schippers dat nu heeft voorgelegd bevat immers geen beschermend kader voor het ontwikkelen van een “patiëntgeheim” en alle kwesties omtrent verantwoordelijkheid en aansprakelijkheid die voor een dergelijk systeem noodzakelijk zijn.

Documenten:

Schriftelijke input SpecifiekeToestemming.nl t.b.v. expert-meeting Eerste Kamer 5 april 2016

Woordelijk verslag expert-meeting Eerste Kamer 5 april 2016

Brief en begeleidend schrijven van minister Schippers d.d. 8 maart 2016 aan Tweede Kamer ter reactie op brief SpecifiekeToestemming.nl aan Eerste Kamer d.d. 18 januari 2016.

"Privacy, en het gebrek eraan, was een onderwerp dat vorig jaar bijna dagelijks in het nieuws kwam en gezien de resultaten van de poll verwachten de lezers van Security.NL dat privacy ook in 2016 weer veelvuldig de actualiteit zal beheersen.

Aanleiding voor Security.NL om drie organisaties die zich inzetten voor privacy, zowel buiten als op het internet, te vragen welke zaken dit jaar het nieuws zullen beheersen. Daarnaast zullen Bits of Freedom, Privacy Barometer en Stichting Privacy First laten weten waar ze zich op gaan richten en wat je dit jaar absoluut moet doen op het gebied van privacy.

Wetgeving

Alle drie de organisaties zien vooral voor de wetgever een belangrijke rol weggelegd als het om privacy gaat. "Komend jaar zal er vanuit de politiek al voorgesorteerd worden voor de verkiezingen in maart 2017. Het wetsvoorstel voor inbraakbevoegdheid voor de politie is net naar de Tweede Kamer gestuurd, maar het is maar de vraag of het kabinet het met andere gevoelige wetsvoorstellen nog aandurft. Zo is het uitbreiden van bevoegdheden voor de AIVD en MIVD zeer controversieel en dat wetsvoorstel staat ook niet genoemd op de lijst voor de komende maanden", zegt Reinout Barth van Privacy Barometer.

Daphne van der Kroft van Bits of Freedom stelt dat er de komende maanden in verschillende Europese landen voorstellen zullen verschijnen om massasurveillance door geheime diensten mogelijk te maken. "In Nederland gebeurt dat in de vernieuwing van de Wet op de inlichtingen- en veiligheidsdiensten. Het wordt spannend of ook onschuldige burgers daar de dupe van zullen worden", zo laat ze weten. Vincent Böhre van Privacy First kijkt onder andere naar de rol van privacy bij lokale overheden. "Met name de gemeenten zullen nadat de eerste stofwolken van de decentralisaties zijn neergedaald nog eens goed moeten nadenken hoe ze duurzaam met persoonsgegevens kunnen omgaan."

Meldplicht Datalekken

Ook verwachten alle drie de organisaties het nodige van de Europese privacywetgeving en de Meldplicht Datalekken die sinds 1 januari van kracht is. "Bedrijven en overheden zullen een tandje bij moeten zetten om aan de nieuwe regels te voldoen nu deze definitief zijn. De Wet Meldplicht Datalekken was een aardig voorproefje van wat komen gaat, bij veel organisaties bleek dat toch wel een big issue”, merkt Böhre op. In Nederland kan de Autoriteit Persoonsgegevens bij datalekken boetes van 820.000 euro uitdelen. Iets dat zeker impact zal hebben, aldus Van der Kroft. "Dat gaat betekenen dat bedrijven nu veel meer geneigd zullen zijn zich netter aan de wet te houden."

Bits of Freedom en Privacy First noemen ook het nieuwe privacy-akkoord dat tussen de Verenigde Staten en Europa moet worden gesloten, aangezien de Safe Harbour-overeenkomst vorig jaar ongeldig werd verklaard. "Tot nog toe zijn dat heel moeilijke onderhandelingen. We zijn benieuwd wat daaruit komt!”, laat Van der Kroft weten.

Volgens Barth zijn er daarnaast nog twee aandachtsgebieden die wat onder de radar zitten. Het gaat om de ontwikkelingen op het nieuwe eID-systeem als opvolger van DigiD. “Kunnen we straks nog anoniem het internet op of zullen we bij elke webshop of website ons moeten identificeren met het eID?”, vraagt hij zich af. Een ander punt zijn de leerlinggegevens die door uitgevers worden verzameld. "Sander Dekker [staatssecretaris van Onderwijs - red.] doet er luchtig over, maar dat uitgevers het gehele studiegedrag inclusief resultaten op BSN-nummer kunnen volgen is een flinke privacyschending, want zijn die gegevens voor de uitgever wel noodzakelijk? De visie van Dekker kan nog een flink debat in Tweede Kamer of bij ouders opleveren", verwacht Barth.

Speerpunten

Dat privacy op steeds meer plekken een rol speelt blijkt wel uit de verschillende punten waar de privacyorganisaties zich dit jaar mee gaan bezighouden. Bits of Freedom richt zich op verschillende wetsvoorstellen. "Het hackvoorstel moet van tafel. Als de politie wil kunnen hacken, heeft zij belang bij kwetsbaarheden in systemen. Daarmee wordt de internetter dus uiteindelijk alleen maar onveiliger. Dat willen we voorkomen”, zegt Van der Kroft. Ook wil de privacyvoorvechter het nieuwe voorstel voor de Bewaarplicht stoppen en dat het ongericht aftappen van de kabel door de geheime diensten uit het nieuwe voorstel voor de Wet op de inlichtingen- en veiligheidsdiensten wordt gehaald.

Bij Privacy First staan andere onderwerpen op de agenda. De stichting gaat zich richten op anonimiteit in de openbare ruimte, zoals cameratoezicht, ANPR (automatisch kentekenherkenning) en kentekenparkeren, Big Data en profiling, medische privacy en 'slimme' energiemeters. Verder verwacht Privacy First verschillende rechtszaken voort te zetten, waaronder 'Burgers tegen Plasterk', en nieuwe rechtszaken te starten, mogelijk tegen Facebook en ANPR.

Privacytips

Als het om privacybescherming gaat ligt de bal niet alleen bij privacyorganisaties. Er is genoeg dat burgers en internetgebruikers kunnen doen. Van der Kroft wijst daarbij naar de toolbox van Bits of Freedom, die verschillende privacytools bevat. Böhre van Privacy First combineert bewustzijn en techniek. "Behandel privacy net als je auto of tandarts en neem periodiek de tijd om na te gaan of je instellingen, programma's etc. nog op orde zijn en doen wat jij wilt", adviseert hij. Ook raadt hij aan om advertenties en trackingcookies te blokkeren en privacyorganisaties te steunen.

Privacy Barometer zet vooral in op bewustzijn. "De belangrijkste tip die we zouden willen meegeven is: probeer jezelf en je omgeving bewust te maken over al de persoonsgegevens die je deelt en met wie. We geven sommige bedrijven ongekend veel macht door in hun fuik te zwemmen en hen onze diepste geheimen toe te vertrouwen. Wil je Facebook en Whatsapp zo machtig maken dat het steeds moeilijker wordt zonder hen je leven te kunnen leiden?”, stelt Barth de vraag. “Laat grote internetbedrijven niet de baas over ons worden. Maak mensen bewust over persoonsgegevens, zoek alternatieven en promoot de mooiste daarvan in je eigen omgeving.""

Bron: https://www.security.nl/posting/457026/Privacy+in+2016%3A+van+wetgeving+tot+bewustzijn, 9 januari 2016.

Naar aanleiding van de recente aanslagen in Parijs werd Stichting Privacy First vandaag geïnterviewd door BNR Nieuwsradio. Hoe kan Nederland het beste op dit soort aanslagen reageren? Hoe kan terrorisme worden bestreden zonder dat de privacy van onschuldige burgers wordt opgeofferd? Beluister hieronder het hele interview met Vincent Böhre van Privacy First: