Toon items op tag: Privacy

Op 28 januari 2019 (de Europese Dag van de Privacy) worden door Stichting Privacy First de jaarlijkse Nederlandse Privacy Awards uitgereikt.

Er zijn 4 categorieën waarvoor inschrijvingen genomineerd kunnen worden:

1. categorie Consumentenoplossingen (van bedrijven voor consumenten)

2. categorie Bedrijfsoplossingen (binnen een bedrijf of business-to-business)

3. categorie Overheidsdiensten (van de overheid voor burgers)

4. Aanmoedigingsprijs voor een baanbrekende technologie of persoon.

“De Privacy Award is de belangrijkste prijs in Nederland voor organisaties en bedrijven die op een positieve manier met privacy willen omgaan. Privacy als kans in plaats van obstakel. Dit jaar zal de jury extra nadruk leggen op het feit dat privacy meer moet zijn dan informed-consent en de controle geven aan de burger. Veel meer zelfs”, aldus Bart van der Sloot, voorzitter van de onafhankelijke jury.

Voorwaarden voor deelname

Voorwaarde voor deelname is dat u reeds met uw privacy-innovatie aan de slag bent. U bent de ideefase voorbij en kunt al iets van het project in uitvoering laten zien. U zorgt met uw project voor inspiratie bij andere organisaties waardoor privacy niet wordt gezien als een belemmering, maar als een kans!

De eerste selectie bestaat uit een screening waarop met de volgende zaken wordt omgegaan:

a) Het hebben van een privacy verantwoordelijke (FG, PO) in de organisatie

b) Toepassen van een privacy policy

c) Toepassen van risico analyse(s)

d) Privacy awareness in de organisatie

e) Een inzichtelijk privacybeleid en communicatie hiervan.

Vervolgens worden de deelnemers die genomineerd worden, gescreend op zaken als:

f) Innovatief vermogen: het product, proces of dienst biedt een noviteit op privacygebied en heeft zich in de markt nog niet technisch en/of commercieel bewezen;

g) Maatschappelijke impact: de innovatie levert een bijdrage aan privacy en komt de bescherming van persoonsgegevens en het individu ten goede;

h) Focus: het product, proces of dienst levert in grote mate toegevoegde waarde aan de markt/consument;

i) Zelfredzaamheid: het product, proces of dienst is binnen een reële termijn (ca 3 jaar) economisch realiseerbaar. Er is een businessmodel.

Daarnaast bestaat de mogelijkheid dat de jury (vertrouwelijk) een aangekondigd bedrijfsbezoek aan de genomineerde zal brengen.

Bepalen van de genomineerden

Organisaties kunnen zich t/m zondag 14 oktober 2018 aanmelden voor de Awards door een email met korte toelichting over het betreffende Privacy Project en antwoord op bovengenoemde punten a) t/m i) te sturen naar Privacy First via Dit e-mailadres wordt beveiligd tegen spambots. JavaScript dient ingeschakeld te zijn om het te bekijken.. Uiterlijk begin december 2018 hoort u of u tot de genomineerden behoort. Indien u genomineerd wordt ontvangt u van Privacy First een uitnodiging om een korte pitch tijdens de Awards-uitreiking voor te bereiden.

Voorschriften pitch

● Maximaal 3 minuten

● U gebruikt een Powerpoint presentatie (maximaal 3 sheets)

● De presentatie bevat in ieder geval de volgende onderdelen:

   o Organisatienaam

   o Privacy project omschrijving

   o Doel en behaalde resultaten.

Jury

De jury bestaat uit onafhankelijke privacy-experts uit diverse sectoren:

> Bart van der Sloot, senior researcher, Universiteit Tilburg (jury-voorzitter)
> Bas Filippini, oprichter en voorzitter Privacy First
> Paul Korremans, data protection & security professional, Comfort Information Architects 
   (tevens bestuurslid Privacy First)
> Marie-José Bonthuis, eigenaar IT’s Privacy
> Esther Janssen, advocaat Informatierecht en grondrechten, bureau Brandeis
> Esther Keymolen, techniekfilosoof, TILT, Universiteit Tilburg
> Matthijs Koot, senior security specialist, Secura BV
> Marc van Lieshout, senior onderzoeker TNO en zakelijk directeur PI.lab
> Wendeline Sjouwerman, privacy specialist lokale overheden en zorg.

Om te garanderen dat de verkiezing van de Awards objectief verloopt, is het niet toegestaan dat de jury een deelname beoordeelt van de eigen organisatie.

Privacy First organiseert de Nederlandse Privacy Awards met steun van Stichting Democratie & Media, in samenwerking met ECP. Klik HIER voor een impressie van de Nederlandse Privacy Awards 2018. Wilt u graag partner of sponsor van de Nederlandse Privacy Awards worden? Neem dan contact op met Privacy First!

Handhavingsverzoek bij Autoriteit Persoonsgegevens over drie nieuwe privacyschendingen 

Naar aanleiding van drie nieuwe pogingen van Nederlandse Spoorwegen om de privacy van treinreizigers te schenden, heeft NS-klant Michiel Jonker deze week een handhavingsverzoek ingediend bij de Autoriteit Persoonsgegevens. Het betreft:

• ŸHet weigeren van de terugbetaling van resterend saldo op anonieme OV-chipkaarten als de houder zijn NAW-gegevens niet aan NS verstrekt;
• ŸHet weigeren van internationale treintickets door NS-medewerkers aan stationsbalies als kopers hun NAW-gegevens niet aan NS verstrekken;
• ŸHet in rekening brengen, sinds 2 juli 2018, van extra “servicekosten” als houders van anonieme OV-chipkaarten contant betalen voor het opwaarderen van het saldo op deze kaarten.

Sinds juli 2014 heeft Nederlandse Spoorwegen (NS) al eerder op diverse manieren de aanval ingezet op de privacy van Nederlandse treinreizigers. Het ging toen onder andere om:

• Het discrimineren van houders van anonieme OV-chipkaarten in de voordeeluren;
• ŸHet eisen van de-anonimisering van de anonieme OV-chipkaarten bij service-verlening door NS (bijvoorbeeld geld terug bij vertraging);
• ŸHet aanbrengen van twee unieke pasnummers op elke anonieme OV-chipkaart, waardoor de anonimiteit van die kaarten wordt aangetast.

Als reiziger die zijn privacy wilde behouden, verzocht Jonker herhaaldelijk aan de Autoriteit Persoonsgegevens (AP) om deze overtredingen te onderzoeken en handhavingsmaatregelen te nemen. Jonker won daarover reeds verschillende rechtszaken tegen de AP, die aanvankelijk weigerde de meldingen zelfs maar te onderzoeken.

Bij de beoordeling van de nieuwe schendingen door NS zal de onlangs in werking getreden Algemene Verordening Gegevensbescherming (AVG) een belangrijke rol spelen. Een ander onderwerp dat centraal zal staan, is het recht op betaling met contant geld als wettig betaalmiddel dat tevens de privacy beschermt.

Jonker: “In al deze zaken gaat het om de vraag of gebruikers van het Nederlandse OV recht hebben op een reële, effectieve bescherming van hun privacy. Die vraag is actueler dan ooit, als je ziet hoe er met mensen wordt omgegaan in situaties waarin de privacy niet adequaat wordt beschermd. Dan valt niet alleen te denken aan China met zijn Sociale Kredietscore, of de Verenigde Staten met hun “No Fly”-lijsten, maar ook aan Europese landen waarin de afgelopen jaren wetten zijn aangenomen die het de overheid mogelijk maken reizigers te bespieden die niet worden verdacht van enig strafbaar of risicovol gedrag. Bijvoorbeeld Frankrijk met zijn permanente noodtoestand en Nederland met de Sleepwet.”

Jonker wordt ook in deze nieuwe zaak gesteund door Stichting Privacy First en Maatschappij Voor Beter OV.

Media:
https://www.security.nl/posting/569517/Treinreiziger+wil+dat+privacytoezichthouder+optreedt+tegen+NS
https://tweakers.net/nieuws/140841/privacy-first-en-treinreiziger-willen-dat-ns-beleid-anonieme-chipkaarten-aanpast.html 
https://www.liberties.eu/en/news/ns-privacy-fight-passenger-privacy/15444

Update 23 juli 2018: Na indiening van het handhavingsverzoek bij de AP heeft Jonker nog een verdere schending van de privacy in het OV geconstateerd, eveneens met betrekking tot het ontmoedigen van contante betaling voor vervoerbewijzen. In bussen in verschillende Nederlandse regio's wordt sinds 1 juli 2018 contante betaling geweigerd, zodat reizigers in de bus worden gedwongen daar te pinnen of hun creditcard te gebruiken, en daarmee hun persoonsgegevens te laten verwerken. Dit blijkt te berusten op een landelijk gemaakte afspraak tussen vervoerbedrijven. Op 21 juli jl. heeft Jonker zijn handhavingsverzoek daarom aangevuld met een verzoek aan de AP om in dat kader ook deze privacyschending te onderzoeken en te beëindigen.

Jonker: "Markant is dat de branche-organisatie Koninklijk Nederlands Vervoer (KNV) muisstil is over deze landelijke afspraak, en dat de maatregel midden in de zomerperiode is ingevoerd. Ik kan me niet aan de indruk onttrekken dat er wordt geprobeerd de weigering van een wettig betaalmiddel geruisloos in te laten gaan. Ik heb de AP met een beroep op de WOB gevraagd mij te informeren over alle communicatie die hierover met of door de AP achter de schermen heeft plaatsgevonden."

Media: https://www.security.nl/posting/570899/AP+gevraagd+op+te+treden+tegen+weigeren+contant+geld+in+bus
https://nieuws.nl/algemeen/20180723/klacht-wegens-weigering-contante-betaling-bus/
https://radar.avrotros.nl/nieuws/detail/bezwaar-ingediend-tegen-verdwijnen-contant-geld-uit-bus/
https://www.omroepgelderland.nl/nieuws/2320576/Arnhemmer-wil-buskaartje-contant-betalen
https://www.transport-online.nl/site/93550/klacht-wegens-weigering-contante-betaling-in-bus/ 
http://www.welingelichtekringen.nl/anp/klacht-wegens-weigering-contante-betaling-bus
https://panorama.nl/nieuws/binnenland/klacht-wegens-weigering-contante-betaling-bus
http://www.dvhn.nl/binnenland/Klacht-wegens-weigering-contante-betaling-bus-23396995.html
http://www.lc.nl/binnenland/Klacht-wegens-weigering-contante-betaling-bus-23396571.html
https://www.nd.nl/nieuws/actueel/binnenland/klacht-wegens-weigering-contante-betaling-bus.3076549.lynkx
https://www.metronieuws.nl/in-het-nieuws/2018/07/bezwaar-ingediend-tegen-verdwijnen-contant-geld-bus 

Hierbij publiceert Stichting Privacy First graag haar jaarverslag 2017: klik HIER om de pdf-versie te downloaden. In ons jaarverslag leest u alles over onze voornaamste activiteiten in 2017, waaronder onze rechtszaken, onze lobby en onze publieksevenementen. Bij dit jaarverslag hoort tevens onze jaarrekening 2017 (pdf). Ondanks het vernieuwde Europese privacyrecht (Algemene Verordening Gegevensbescherming, AVG) staat het recht op privacy in Nederland anno 2018 onder grotere druk dan ooit. Een krachtige organisatie als Privacy First blijft daarom cruciaal en uw steun als donateur is daarbij onmisbaar. Klik HIER om donateur van Privacy First te worden!

Volgende week stemt de Eerste Kamer over een wet die de politie de bevoegdheid geeft om iedere computer of smartphone te kunnen hacken. In dit verband verzond Privacy First vandaag onderstaande oproep aan alle relevante Kamerleden:

Geachte Kamerleden,

Op dinsdag 26 juni as. stemt u over het controversiële wetsvoorstel Computercriminaliteit III, dat de politie de bevoegdheid geeft om vrijwel ieder apparaat te kunnen hacken. Zoals reeds door Privacy First aangegeven bij de parlementaire expert-meeting op 20 juni 2017 is bij dit wetsvoorstel echter nooit sprake geweest van een grondige en onafhankelijke Privacy Impact Assessment. Bij het wetsvoorstel zijn bovendien de vereiste maatschappelijke noodzaak en proportionaliteit tot op heden nooit hard aangetoond. In de optiek van Privacy First lijkt het wetsvoorstel vooral gedreven door technologisch determinisme: alles wat technisch kan, wordt wettelijk mogelijk gemaakt. Van enige wettelijke inperking in technologische zin is bewust geen sprake: de werking van het wetsvoorstel zal zich uitstrekken tot vrijwel alles wat met het internet in verbinding staat. In de toekomst dus vrijwel de gehele maatschappij, waaronder het Internet of Things. In politiekringen wil men zelfs rijdende auto's kunnen hacken en stilzetten, met alle gevaren van dien voor de verkeersveiligheid. De misdrijven waarbij dit wetsvoorstel kan worden ingezet, kunnen bovendien simpelweg door de Minister worden uitgebreid bij Algemene Maatregel van Bestuur. Dat is geen privacy by design, dat is function creep (doelverschuiving) by design. Dit staat op gespannen voet met het grondwettelijke vereiste in artikel 10 Grondwet dat iedere inbreuk op de persoonlijke levenssfeer gebaseerd dient te zijn op een wet in formele zin, met parlementaire goedkeuring vooraf. Privacy First verzoekt uw Kamer dan ook om dit wetsvoorstel te verwerpen, danwel tenminste paal en perk aan het huidige wetsvoorstel te stellen door de moties van de Kamerleden Bredenoord (over parlementaire controle) en Strik (over onafhankelijke toetsing) aan te nemen.

Hoogachtend,

Stichting Privacy First

Lees HIER de brief die Privacy First eerder over dit wetsvoorstel aan de Tweede Kamer verstuurde.

Update 26 juni 2018: vandaag heeft de Eerste Kamer het wetsvoorstel helaas aangenomen. VVD, PvdA, CDA, ChristenUnie, SGP, OSF en D66 stemden vóór. GroenLinks, SP, 50Plus, PvdD en PVV stemden tegen. De motie-Bredenoord (D66) werd unaniem aangenomen. De motie-Strik (GroenLinks) werd helaas verworpen. De wet zal waarschijnlijk op 1 januari 2019 in werking treden.

Vanmiddag vindt in de Tweede Kamer een belangrijk debat plaats over de invoering van Passenger Name Records (PNR): massale, jarenlange opslag van allerlei gegevens van vliegtuigpassagiers ter bestrijding van misdaad en terrorisme. Privacy First heeft hier grote bezwaren tegen en stuurde dit weekend onderstaande brief naar de Tweede Kamer. Beluister tevens het interview hierover met Privacy First vanochtend op BNR Nieuwsradio:

Update 14 mei 2018, 10.15u: zojuist is het Kamerdebat geannuleerd en "tot nader order uitgesteld".  

Geachte Kamerleden,

Deze maandagmiddag debatteert u met minister Grapperhaus (Justitie en Veiligheid) over de Nederlandse implementatie van de Europese richtlijn inzake Passenger Name Records (PNR). Zowel de Europese PNR-richtlijn als de beoogde Nederlandse implementatiewet zijn in de optiek van Privacy First juridisch onhoudbaar. Hieronder zetten wij dit kort voor u uiteen.

Vakantieregister

In het PNR-wetsvoorstel van de minister zullen talloze gegevens van alle vliegtuigpassagiers met vertrek of aankomst in Nederland 5 jaar lang in een centrale overheidsdatabank bij de nieuwe Passenger Information Unit worden bewaard en gebruikt ter voorkoming, opsporing, onderzoek en vervolging van misdrijven en terrorisme. Gevoelige persoonsgegevens (waaronder naam- en adresgegevens, telefoonnummers, emailadressen, geboortedata, reisdata, ID-documentnummers, bestemmingen, medepassagiers en betaalgegevens) van vele miljoenen passagiers zullen daardoor jarenlang beschikbaar zijn t.b.v. datamining en profiling. In wezen wordt iedere vliegtuigpassagier hierdoor behandeld als potentiële crimineel of terrorist. In 99,99% van de gevallen betreft het echter volstrekt onschuldige burgers, voornamelijk vakantiegangers en zakenreizigers. Dit vormt een flagrante schending van hun recht op privacy en vrijheid van beweging. Onlangs heeft Privacy First dit ook in de Volkskrant betoogd. Wegens privacybezwaren bestond er de laatste jaren veel politieke weerstand tegen dergelijke massale PNR-opslag en werd dit sinds 2010 diverse malen verworpen door zowel de Nederlandse Tweede Kamer als het Europees Parlement. In 2015 waren ook de Nederlandse regeringspartijen VVD en PvdA nog mordicus tegen. VVD en PvdA spraken destijds van een "vakantieregister" en dreigden zélf naar het Europees Hof van Justitie te stappen als de Europese PNR-richtlijn zou worden aangenomen. Na de recente aanslagen in Parijs en Brussel leken veel politieke bezwaren echter als sneeuw voor de zon verdwenen en werd de PNR-richtlijn in 2016 alsnog een feit. Tot op heden is de juridisch vereiste maatschappelijke noodzaak en proportionaliteit van deze richtlijn echter nog steeds niet aangetoond.

Europees Hof

In de zomer van 2017 deed het Europees Hof van Justitie een belangrijke uitspraak over het vergelijkbare PNR-verdrag tussen de EU en Canada. Het Hof verklaarde dit verdrag ongeldig wegens strijd met het recht op privacy. Het Hof stelde hierbij onder meer dat “gegevens van een luchtreiziger na diens vertrek slechts mogen worden bewaard indien op grond van objectieve criteria kan worden aangenomen dat deze luchtreiziger een risico kan vormen in het kader van de strijd tegen terrorisme en ernstige grensoverschrijdende criminaliteit.” (Zie Advies 1/15 (26 juli 2017), par. 207.) Door deze uitspraak staat sindsdien de Europese PNR-richtlijn juridisch op losse schroeven. De Nederlandse regering heeft daarom terechte “zorgen over de toekomstbestendigheid van de PNR-richtlijn” (zie recente Nota naar aanleiding van verslag, p. 23). Privacy First verwacht dat de huidige PNR-richtlijn binnenkort ter toetsing aan het Europees Hof van Justitie zal worden voorgelegd en onrechtmatig zal worden verklaard. Daarna zal dezelfde situatie ontstaan als enkele jaren geleden bij de Europese telecom-bewaarplicht: zodra deze Europese richtlijn ongeldig is verklaard, zal de Nederlandse implementatiewetgeving in kort geding buiten werking worden gesteld.

Massa surveillance

Het huidige Nederlandse PNR-wetsvoorstel lijkt bij voorbaat onrechtmatig wegens gebrek aan aantoonbare noodzaak, proportionaliteit en subsidiariteit. Het wetsvoorstel komt neer op massa-surveillance van grotendeels onschuldige burgers; reeds in de Tele2-zaak (2016) verklaarde het Europees Hof dit type wetgeving illegaal. Bij de VN Mensenrechtenraad deed Nederland in dit verband vorig jaar de algemene toezegging “to ensure that the collection and maintenance of data for criminal [investigation] purposes does not entail massive surveillance of innocent persons.” Nederland lijkt die belofte nu te verbreken. Bij iedere passagier worden immers talloze volstrekt overbodige data opgeslagen die jarenlang door allerlei Nederlandse, Europese en zelfs niet-Europese overheidsinstanties kunnen worden gebruikt. Bovendien is de effectiviteit van PNR tot op heden nooit aangetoond, aldus ook de minister zelf: “statistische onderbouwing is niet voorhanden” (zie Nota naar aanleiding van verslag, p. 8). Het risico op onterechte verdenkingen en discriminatie (door feilbare algoritmes bij profiling) is bij het voorgestelde PNR-systeem levensgroot, wat tevens de kans op vertragingen en gemiste vluchten bij onschuldige passagiers verhoogt. Tegelijkertijd zullen gezochte personen vaak onder de radar blijven en alternatieve reisroutes kiezen. Verder wordt in het wetsvoorstel met geen woord gerept over de rol en mogelijkheden van geheime diensten, terwijl die onder de nieuwe Wet op de inlichtingen- en veiligheidsdiensten directe, afgeschermde toegang tot de centrale PNR-databank zullen kunnen krijgen. Meest kwalijke aspect aan het Nederlandse PNR-wetsvoorstel is echter dat dit nog twee stappen verder gaat dan de PNR-richtlijn zelf: Nederland kiest er immers zélf voor om ook de data van passagiers op alle intra-EU vluchten op te slaan. Onder de PNR-richtlijn is dit echter niet verplicht, en had Nederland dit bovendien kunnen beperken tot louter vooraf geselecteerde (risico)vluchten. Dit zou in lijn geweest zijn met het advies van de meeste experts op dit terrein: targeted i.p.v. mass surveillance, zo gericht mogelijk, oftewel louter gericht op die personen waarop een redelijke verdenking rust, conform de principes van onze democratische rechtsstaat.

Advies Privacy First

Privacy First adviseert u hierbij met klem om het huidige wetsvoorstel te verwerpen en dit desgewenst te vervangen door een privacyvriendelijke versie. Mocht dit ertoe leiden dat Nederland door de Europese Commissie voor het EU Hof van Justitie zal worden gedaagd wegens gebrek aan implementatie van de huidige Europese PNR-richtlijn, dan verwacht Privacy First dat Nederland deze zaak glansrijk zal winnen. Van EU-lidstaten mag immers niet worden verwacht dat zij privacyschendende EU-regels implementeren. Nederland heeft hierin een eigen verantwoordelijkheid.

Voor nadere informatie of vragen met betrekking tot bovenstaande is Privacy First te allen tijde bereikbaar op telefoonnummer 020-8100279 of per email: Dit e-mailadres wordt beveiligd tegen spambots. JavaScript dient ingeschakeld te zijn om het te bekijken..

Hoogachtend,

Stichting Privacy First

"Enkele Nederlandse banken en fintechs werken samen met Stichting Privacy First aan een PSD2-keurmerk. Daarmee willen de bedrijven aan consumenten duidelijk maken wie ze hun data kunnen toevertrouwen. De Volksbank schaart zich als een van de eersten achter het initiatief. Op welke behoefte spelen de betrokkenen in?

De Europese betaalrichtlijn PSD2 levert behalve innovatie ook privacyzorgen op. De in januari in werking getreden richtlijn – Nederland volgt waarschijnlijk deze zomer met eigen wetgeving – zorgt ervoor dat consumenten bedrijven toegang kunnen geven tot hun bankrekening en (financiële) data. De vraag is echter of zij doorhebben privacygevoelige gegevens te delen. Eenmaal gedeeld kunnen banken die data bovendien niet meer ‘terughalen’.

Behalve een voordeel kleeft er dus ook een reëel risico aan PSD2, stelt Privacy First. Samen met enkele Nederlandse banken en fintech-bedrijven werkt de belangenorganisatie daarom aan een keurmerk. De partijen reageren daarmee op een uitspraak van De Nederlandsche Bank. Die zou eerder hebben vastgesteld dat hier behoefte aan is. Terwijl de AVG, de nieuwe Europese privacywet, moet zorgen voor betere bescherming zet PSD2 de achterdeur open, legt Martijn van der Veen van Privacy First uit.

Hoe zien jullie PSD2 vanuit privacy-oogpunt?

Van der Veen: “Het onderwerp privacy is binnen PSD2 veel te lang onderbelicht gebleven. Lang was PSD2 vooral een feestje voor fintechs en gericht op het innoveren van het betalingsverkeer.

“Met PSD2 kunnen partijen onder meer inzage krijgen in je transactiegegevens, bijvoorbeeld voor het krijgen van inzicht over meerdere bankrekeningen heen. Een bank mag die transactiedata niet zomaar verstrekken, daarvoor moet een consument ‘uitdrukkelijke toestemming’ geven. Dat is niet eventjes een vinkje zetten. De persoon moet ‘vrije, specifieke en geïnformeerde’ toestemming geven. Op papier is het dan prima geregeld. Maar de impact van PSD2 op de privacy kan veel groter zijn dan de vraag of iemands toestemming is geregistreerd.

“Onze grootste zorg is wat er gebeurt met de gegevens zodra die bij een dienstverlener liggen. Wat doen die ermee? Denk maar niet dat diensten beperkt blijven tot het tonen van transactiegegevens, bedrijven willen iets doen met die grote hoeveelheid gegevens die in hun bezit komt. Denk aan het doen van aanbiedingen, nieuwe diensten en vergelijkingen. Daarvoor willen ze gegevens koppelen, relateren en zoeken naar patronen. En uiteraard zit daar ook een verdienmodel aan vast.

“Een verkeerde framing is dat het ‘maar’ transactiegegevens zijn. Je kunt er ontzettend veel uit afleiden over iemands leven. Als je bij een bank drie jaar terug kan kijken, dan ontvangt de aanbieder ook direct drie jaar aan transactiedata. Aan rekeningnummers kan je aflezen of iemand vaak medische ondersteuning gebruikt, waar een persoon vaak komt en wat iemands leefpatroon is. Uit terugkerende overboekingen leid je af of iemand lid is van een religieuze organisatie of vakbond. Dat zijn gegevens die met goede redenen niet gebruikt mogen worden.

“Het gekke is, waar iedereen vanwege de AVG zijn best doet om zijn privacybescherming op orde te krijgen zet PSD2 de achterdeur wagenwijd open.”

Maar waarom is een keurmerk nodig?

“Het Privacy Keurmerk PSD2 moet consumenten helpen bij hun keuze voor een aanbieder. Het geeft informatie over of de aanbieder goed met de persoonlijke gegevens om zal gaan en te vertrouwen is. Daarbij willen we de open normen van de wet inkleuren. Nu bepaalt een aanbieder wat een fatsoenlijke bewaartermijn van gegevens is. En hoe snel hij reageert op klachten. Het is maar de vraag of het belang van de consument dan voorop staat. Het keurmerk informeert consumenten en stimuleert aanbieders om het niveau van privacybescherming te verhogen. Voor beide partijen is dat waardevol omdat dit het vertrouwen in een dienstverlener verhoogt.” (...)

Lees verder bij Emerce.

"Als het aan de Tweede Kamer ligt, kunnen de vluchtgegevens van alle Nederlanders binnenkort voor vijf jaar worden opgeslagen in een overheidsdatabase.

Woensdag debatteert de Kamer over het wetsvoorstel dat dit mogelijk maakt. De Kamer is in ruime meerderheid voor, maar tegenstanders waarschuwen voor ‘ernstige en disproportionele’ schending van de privacy van burgers.

De nieuwe wet verplicht luchtvaartmaatschappijen de gegevens van alle passagiers standaard aan te leveren. Daardoor ontstaat er een database waarin passagiersgegevens maximaal vijf jaar mogen worden bewaard. Minister Grapperhaus van Justitie is verplicht de wet in Nederland uit te voeren, op basis van een Europese richtlijn die in 2016 werd aangenomen in het Europees Parlement.

(...)

Volgens Vincent Böhre van belangenorganisatie Privacy First is de wet verre van proportioneel. Hij wijst erop dat veruit de meeste vliegende reizigers op vakantievluchten zitten. ‘Voor minder dan 1 procent van de passagiers maak je 100 procent collectief verdacht.’ Böhre hekelt daarnaast de enorme hoeveelheid informatie die in de database zal worden opgeslagen. ‘Reisinformatie zegt ontzettend veel over wie je bent en wat je doet. Je kunt een heel profiel van mensen maken aan de hand van hun bewegingen. Het is een grote inbreuk op de privacy.’

Gerrit-Jan Zwenne, hoogleraar recht en informatiemaatschappij aan de Universiteit Leiden, denkt dat de wet veel problemen met zich mee kan brengen. (...) De hoogleraar benadrukt dat de wet ook in strijd kan zijn met eerdere uitspraken van het Hof van Justitie van de Europese Unie. ‘Vergelijkbare wetten zijn door het hof al eerder geannuleerd.’ Het is volgens hem denkbaar dat hetzelfde gebeurt met deze wet. De wet zou dan over een paar jaar alweer aangepast moeten worden. (...)

Wat zeggen je reisgegevens over jou? ‘Meer dan je zou denken’, zegt Vincent Böhre van Privacy First. ‘Je wilt in ieder geval niet dat ze in verkeerde handen vallen.’ Drie voorbeelden:

Iemand thuis?

De database bestaat uit vertrek- en terugkomstinformatie van miljoenen mensen. Er staat dus in wanneer mensen van huis weg zijn. Böhre: ‘Dat is behoorlijk gevaarlijk. Je kunt eruit afleiden wanneer iemands huis verlaten is. Dat is hele nuttige data voor criminelen. Omdat nu alle data van miljoenen mensen elektronisch wordt opgeslagen levert dat een risico op hacks op. Dat is een risico dat iedereen aangaat.’

Intieme informatie

In het register wordt ook opgeslagen met wie iedereen reist. Er staat ook in naast wie je op de stoel zit. Böhre: ‘Daaruit kun je de relaties tussen mensen afleiden. En dat breekt in op je privacy. Mensen kunnen allerlei redenen hebben om hun relaties verborgen te willen houden. Het kunnen geheime relaties zijn waarmee mensen zelfs gechanteerd kunnen worden. Het zijn heel gevoelige data. Je hele sociale leven kan in die data verstopt zitten.’

Medische redenen

De meeste mensen reizen met het vliegtuig om vervolgens langere tijd ergens te verblijven. Uitzonderingen daarop kunnen opvallen in de data. Böhre: ‘Mensen die naar een ongewoon land gaan voor een korte periode, reizen vaak voor een medische ingreep. Medische informatie behoort tot de meest gevoelige. Zulke informatie wil je privé houden, de mogelijkheid dat het nu in een grote database komt waarin allerlei patronen te ontdekken zijn, brengt dat in gevaar.’"

Bron: Volkskrant 25 april 2018, pp. 6-7. Lees hier het volledige artikel: https://beta.volkskrant.nl/nieuws-achtergrond/mag-de-overheid-straks-uw-reisgegevens-voor-vijf-jaar-bewaren-~b0f514e2/.

Kabinet en parlement sturen aan op snelle inwerkingtreding van privacyschendende Sleepwet. Privacy-coalitie begint kort geding om dit te voorkomen.

Ongewijzigde inwerkingtreding Sleepwet dreigt

De afgelopen maanden heeft een grondig maatschappelijk debat plaatsgevonden over de nieuwe Wet op de inlichtingen- en veiligheidsdiensten, de zogeheten Sleepwet. In het referendum op 21 maart jl. heeft een meerderheid van de Nederlandse bevolking zich vervolgens TEGEN deze wet uitgesproken. In reactie hierop heeft het kabinet slechts enkele summiere, oppervlakkige beleidswijzigingen en enkele niet-fundamentele wetswijzigingen in het vooruitzicht gesteld. Zowel kabinet als Tweede Kamer hebben onverminderd aangestuurd op snelle inwerkingtreding van de huidige Sleepwet – in ongewijzigde vorm – per 1 mei as. De beoogde wetswijzigingen zullen pas na de zomer door het kabinet worden ingediend. Een parlementaire motie om inwerkingtreding van de Sleepwet uit te stellen totdat deze wetswijzigingen behandeld zijn, werd gisteren helaas door de Tweede Kamer verworpen. Daarmee lijkt het parlement voorlopig uitgepraat en is de maatschappij nu opnieuw aan zet.

Kort geding

Vast beleid van Privacy First is om massale privacyschendingen te voorkomen. De inwerkingtreding van de huidige Sleepwet vormt onmiskenbaar een massale privacyschending: het internet-verkeer van onschuldige burgers zal hierdoor op grote schaal worden afgetapt en bovendien zullen data van onschuldige burgers ongeëvalueerd worden uitgewisseld met buitenlandse geheime diensten. Dit vormt een flagrante schending van het recht op privacy. Mogelijke wetswijzigingen om dit achteraf te ‘repareren’ kunnen dan ook niet worden afgewacht; de privacyschendingen zijn dan immers al geschied. Vandaag verzoekt een coalitie van Privacy First en diverse andere maatschappelijke organisaties en bedrijven het kabinet daarom met spoed om de invoering van (de meest privacyschendende onderdelen van) de Sleepwet uit te stellen totdat alle wetswijzigingen in het parlement behandeld zijn. Als het kabinet dit verzoek weigert, is onze coalitie genoodzaakt om een kort geding te voeren om uitstel van inwerkingtreding van de Sleepwet af te dwingen.

Brede coalitie

Naast Privacy First bestaat de coalitie voor dit kort geding uit het Nederlands Juristen Comité voor de Mensenrechten (NJCM), Bits of Freedom, Nederlandse Vereniging van Strafrechtadvocaten (NVSA), Platform Bescherming Burgerrechten, Free Press Unlimited, BIT, Voys, Speakup, Greenpeace International, Waag Society en Mijndomein Hosting. De zaak wordt behandeld door Boekx Advocaten en wordt gecoördineerd door het Public Interest Litigation Project (PILP) van het NJCM. Naast dit kort geding wordt door Privacy First c.s. sinds maart 2017 tevens een bredere rechtszaak (met meer organisaties) voorbereid om de Sleepwet op meerdere onderdelen onrechtmatig te laten verklaren wegens strijd met internationaal en Europees privacyrecht.

Vandaag versturen onze advocaten namens de coalitie een brief aan het kabinet (ministers van Binnenlandse Zaken en Defensie) met een verzoek om uitstel van inwerkingtreding van de Sleepwet. Het kabinet heeft tot vrijdag as. de tijd om hierop te reageren.

Update 20 april 2018: het kabinet heeft het verzoek van de coalitie afgewezen. De coalitie zet nu de voorbereiding van het kort geding voort.

Update 14 mei 2018: de openbare rechtszitting in het kort geding zal plaatsvinden bij de rechtbank Den Haag op donderdag 7 juni as. om 10.00-12.00u, zo heeft de rechtbank vandaag bepaald.
Zaaknummer: C/09/553023 KG ZA 18-476. Klik HIER voor een routebeschrijving.

Update 17 mei 2018: vandaag is de coalitie-dagvaarding aan de landsadvocaat betekend; klik HIER voor de volledige versie (pdf).

Update 7 juni 2018: vanochtend vond in de rechtbank Den Haag de rechtszitting plaats; klik HIER voor de pleitnota van onze advocaten (pdf). De uitspraak van de rechter staat gepland op dinsdag 26 juni as.

Update 26 juni 2018: vandaag heeft de rechtbank Den Haag de zaak helaas afgewezen, klik HIER voor de volledige uitspraak. Privacy First vindt het een zeer teleurstellend vonnis. Weliswaar lag de juridische lat in deze zaak hoog: om dit kort geding te kunnen winnen diende de rechter de Sleepwet "onmiskenbaar onverbindend" te verklaren wegens overduidelijke (onmiskenbare) strijdigheid met internationaal of Europees recht. Het vonnis van de rechter leest echter vooral als een doelredenatie in het voordeel van de Staat, waarbij diverse bezwaren van onze coalitie in het vonnis onbenoemd zijn gebleven. Tevens dient te worden benadrukt (zoals de rechtbank zelf ook doet) dat dit vonnis slechts een voorlopig oordeel inhoudt en dat in deze zaak geen sprake was van een grondige, "volle" toetsing.

De coalitie van organisaties die het kort geding heeft gevoerd betreurt het vonnis. De coalitie vindt dat de regering, mede gezien de uitslag van het referendum, had moeten wachten met het invoeren van de aangevochten onderdelen uit de Sleepwet totdat het parlementaire wetgevingsproces naar aanleiding van het referendum is afgerond. Ongewijzigde invoering van de Sleepwet per 1 mei jl. en pas later (na de zomer) een wetswijziging voorleggen is en blijft dan ook onjuist.

De coalitie zal op korte termijn de mogelijke juridische vervolgstappen bespreken.

"De Staat moet zo snel mogelijk stoppen met het verstrekken van persoonsgegevens aan kerken. Die oproep doet Privacy First aan het kabinet.

Nu krijgen kerken automatisch de persoonsgegevens doorgespeeld van meer dan vijf miljoen Nederlanders die ooit zijn ingeschreven bij een kerk. Wie verhuist, krijgt daardoor op het nieuwe adres meteen een brief van de kerk in de buurt – vaak met aangehechte acceptgiro.

,,Deze situatie is ongewenst en kan niet meer door de beugel”, zegt directeur Vincent Böhre van Privacy First. ,,Het kabinet wil dat burgers meer de regie houden over hun persoonsgegevens. Dat betekent volgens ons ook dat je zelf toestemming moet geven voor het delen van je gegevens met kerkelijke instellingen.”

In 2016 steunde de hele Tweede Kamer – met uitzondering van de christelijke partijen – een motie van D66 om persoonsgegevens niet langer automatisch te delen met kerken. Oud-minister Plasterk van Binnenlandse Zaken besloot om dat uiterlijk begin 2018 te regelen.

Overgang

Maar het nieuwe kabinet heeft dat besluit teruggedraaid. Onder druk van coalitiepartijen CDA en ChristenUnie is in het regeerakkoord afgesproken dat voor kerkelijke organisaties ‘een overgangsregeling’ gaat gelden. In de praktijk betekent dit dat er voorlopig niets verandert. ,,De vormgeving van de overgangsregeling is nog onderwerp van overleg”, zegt een woordvoerder van het ministerie van Binnenlandse Zaken.

Volgens Privacy First moet de regeling zo snel mogelijk worden beëindigd, omdat vanaf 25 mei strengere Europese privacywetgeving in werking treedt. ,,Het huidige gedoogbeleid voor kerken kan echt niet meer”, zegt Böhre. ,,Het bijhouden van een administratie voor religieuze groeperingen is geen taak van de overheid.”

Database

Wijzigingen in de Gemeentelijke Basisadministratie (GBA) worden nu automatisch doorgegeven aan kerken. Dat gebeurt niet alleen bij een verhuizing: ook bij trouwen, scheiden, geboorte en overlijden. De kerkelijke database – SILA – bevat de persoonsgegevens van ruim vijf miljoen Nederlanders. Wie geen post meer van de kerk wenst te ontvangen, moet zichzelf uitschrijven.

In 2016 was de VVD in de Tweede Kamer fel tegen het delen van de persoonsgegevens met kerken. De partij vergeleek de gegevensuitwisseling met de situatie waarbij de Turkse regering adressen van Turkse Nederlanders kreeg om ze vervolgens een stemadvies te sturen."


Bron: Algemeen Dagblad 16 april 2018, p. 6 en https://www.ad.nl/politiek/kabinet-stop-delen-persoonsgegevens-met-kerk~ae2f6d72/.

Een groep maatschappelijke organisaties dagvaardt vandaag de Nederlandse staat om het Systeem Risico Indicatie, kortweg SyRI. Volgens de eisers is het risicoprofileringssysteem een ‘black box’ die een risico vormt voor de democratische rechtsstaat en moet de toepassing hiervan worden gestopt.

De coalitie van eisers bestaat uit het Nederlands Juristen Comité voor de Mensenrechten (NJCM), Stichting Privacy First, Stichting KDVP, de Stichting Platform Bescherming Burgerrechten en de Landelijke Cliëntenraad (LCR). Auteurs Tommy Wieringa en Maxim Februari hebben zich op persoonlijke titel als eisers aangesloten. Als ambassadeurs van de rechtszaak spraken zij zich reeds meerdere malen fel uit tegen SyRI.

De procedure wordt behandeld door Deikwijs Advocaten en is opgezet door het Public Interest Litigation Project (PILP) van het NJCM.

Sleepnetacties met geheime algoritmes op onverdachte burgers

SyRI koppelt op grote schaal persoonsgegevens van onverdachte burgers uit databanken van overheden en bedrijven. Een geheim algoritme voorspelt vervolgens of ze een risico vormen om één van de vele wetten die het systeem beslaat te overtreden. Leidt de analyse van SyRI tot een risicomelding, dan wordt een burger opgenomen in het zogeheten Register Risicomeldingen, dat inzichtelijk is voor een groot aantal overheidsinstanties.

SyRI is een ‘black box’ die grote risico’s bevat voor de democratische rechtsstaat. Het is voor een burger die zonder enkele aanleiding door SyRI kan worden doorgelicht, volstrekt onduidelijk welke gegevens daarvoor worden gebruikt, welke analyses daarmee worden uitgevoerd en wat hem of haar al dan niet tot risico maakt. Bovendien is de burger door de heimelijke werking van SyRI ook niet in staat om een onjuiste risicomelding te weerleggen.

Volgens de coalitie schendt SyRI meerdere fundamentele rechten en wordt de vertrouwensrelatie tussen de overheid en haar burgers door het systeem ondermijnd. Burgers zijn bij voorbaat verdacht en vrijwel alle informatie die ze delen met de overheid kan zonder verdachtmaking of concrete aanleiding op heimelijke wijze tegen hen worden gebruikt.

Ministerie weigert transparantie over werkwijze

Ondanks fundamentele bezwaren van de Raad van State en de Autoriteit Persoonsgegevens over de rechtmatigheid van het systeem, werd de wetgeving voor SyRI eind 2014 als hamerstuk aangenomen door de Tweede en Eerste Kamer. SyRI wordt echter al ingezet sinds 2008. Sindsdien zijn er tientallen onderzoeken uitgevoerd waarbij gehele wijken in verschillende Nederlandse steden door SyRI zijn doorgelicht. Sinds de wettelijke vastlegging werd het systeem in Eindhoven en Capelle aan den IJssel ingezet. Onlangs is aangekondigd dat SyRI zal worden toegepast in de wijken Rotterdam Bloemhof en Hillesluis en Haarlem Schalkwijk.

Een Wob-verzoek leverde nauwelijks informatie op over de tientallen SyRI-onderzoeken die zowel voor als na de wettelijke vastlegging in 2014 zijn uitgevoerd. Door inzage te geven in de gebruikte gegevens en risicomodellen zouden calculerende burgers weten waarop ze moeten letten wanneer zij fraude plegen, zo luidt de reden van het Ministerie van Sociale Zaken om geen openheid van zaken te geven. Volgens de eisers is dit in strijd met onder meer de informatieplicht en het recht op een eerlijk proces.

Meer informatie

Rondom de rechtszaak is de voorlichtingscampagne ‘Bij Voorbaat Verdacht’ gestart. Op de campagnewebsite www.bijvoorbaatverdacht.nl worden updates over de rechtszaak geplaatst en zal een publiekssamenvatting van de dagvaarding verschijnen. De volledige dagvaarding is te raadplegen op de website van Deikwijs Advocaten www.deikwijs.nl (pdf). 

Update 16 oktober 2018: de rechtbank Den Haag heeft FNV toegelaten als mede-eiser in de rechtszaak.

Update 23 april 2019: de rechtszitting zal plaatsvinden op 29 oktober 2019 bij de rechtbank Den Haag. Iedereen is van harte welkom om de zaak bij te wonen!