Toon items op tag: Privacy

"Het kabinet wil de fraude met bijstandsuitkeringen aanpakken door allerlei persoonsgegevens aan elkaar te koppelen. Mag dat wel?

Is het technisch mogelijk de gegevens van sociale diensten, studiefinanciering, banken, handelsregister, de gemeentelijke basisadministratie en het kadaster aan elkaar te koppelen?

Bij het ministerie van Sociale Zaken denken ze van wel. Staatssecretaris Paul de Krom wil de koppeling al op korte termijn invoeren. 'De techniek is er klaar voor', zegt ook Jan Friso Groote, hoogleraar Informatica aan de TU Eindhoven. 'Maar de mensen niet.' (...)

Mag al die persoonlijke informatie wel zo breed worden gedeeld?

Het College Bescherming Persoonsgegevens (CBP) doet nog geen uitspraken over het plan van De Krom. Pas als er een wetsvoorstel ligt, buigt het college zich daarover. Kees de Vey Mestdagh, hoogleraar Recht en ict van de Universiteit Groningen, is ervan overtuigd dat het niet mag. 'Dit is een onrechtmatig idee. In de Wet Bescherming Persoonsgegevens (WBP) zijn een heleboel voorwaarden verbonden aan het uitwisselen van gegevens. Dit plan gaat daaraan voorbij. Zo moeten betrokkenen toestemming geven dat hun gegevens worden gedeeld.'

Fraude moet toch bestreden kunnen worden?

Jazeker, de wet biedt daarvoor ook de mogelijkheid. 'Gebruik maken van persoonlijke gegevens mag, mits de gegevensverwerking noodzakelijk is om een wettelijke verplichting na te komen waaraan de verantwoordelijke onderworpen is.'

Maar, zegt De Vey Mestdagh, dan moeten de afzonderlijke wetten waar de betrokken instellingen aan zijn gebonden het delen van informatie ook toestaan. Voor de sociale dienst, de studiefinanciering, de banken, het handelsregister, de gemeentelijke basisadministratie en het kadaster moet expliciet geregeld zijn dat zij aan fraudebestrijding mogen meewerken. Als dit in een van deze wetten niet is opgenomen, zal dat alsnog moeten gebeuren. Het behandelen van zo'n noodzakelijke wetswijziging zal vervolgens jaren in beslag nemen. 'Dan is er al zoveel opschudding geweest over digitale privacy dat de kans klein is dat zo'n wijzigingsvoorstel door het parlement komt', verwacht De Vey Mestdagh.

Als je niets fout doet, heb je van de voorgenomen koppeling van bestanden toch niets te vrezen?

Het is een vraag die De Vey Mestdagh ook vaak van zijn studenten krijgt. 'Het is een misvatting', zegt hij. 'Stel je voor dat je medische gegevens openbaar worden, dat kan je bijvoorbeeld parten spelen bij sollicitaties.'
(...)
De grenzen schuiven langzaam op, zegt Vincent Böhre van Privacy First, een organisatie die zich hard maakt voor privacybescherming. 'Vroeger trokken ze je gegevens pas na als je een strafbaar feit had gepleegd. Nu hebben ze al een beeld van je voordat je iets strafbaars hebt gedaan.'"

Bron: Volkskrant 14 maart 2012, p. 11.

"Patiënten die er bezwaar tegen hebben dat de behandeling van hun psychische aandoening op de factuur van de verzekeraar komt, kunnen dat beletten. Dat is het gevolg van een uitspraak van het College van Beroep voor het bedrijfsleven (CBb). Psychiaters en psychologen wonnen een rechtszaak die zij hadden aangespannen tegen de Nederlandse Zorgautoriteit, de overheidsinstantie die regels en tarieven in de zorg vaststelt. De zorgverleners wilden de privacy van patiënten beschermen, evenals hun eigen beroepsgeheim. Privacy First, de stichting die over privacybescherming waakt, noemt het een ,,baanbrekende uitspraak"."

Bron: NRC Handelsblad 13 maart 2012, sectie Binnenland.

"Het is goed misgegaan bij de invoering van het biometrische paspoort. Dat is de conclusie van een onderzoek van oud-topambtenaar Roel Bekker. Volgens hem heeft de overheid de complexiteit van het digitale paspoort onderschat. Nederland wilde in de bestrijding van zogeheten 'look-a-like' fraude voorop lopen, en dat werd nog eens extra urgent na 11 september 2001. Technologische experts en zwakke waarschuwingen werden daardoor nauwelijks gehoord. De voortvarendheid waarmee het biometrisch paspoort vervolgens werd ingevoerd, heeft een systeem opgeleverd dat 'niet is mislukt', volgens Bekker, maar dat ook 'niet werkt'. Eerder bleek al uit een proef van de gemeente Roermond dat het één op de vijf keer mis gaat bij het uitlezen van de digitaal opgeslagen vingerafdruk. Maar omdat er in de aanloop nooit is vastgesteld wat de foutmarge mag zijn in zo'n systeem, is niet eens te zeggen of die twintig procent een probleem vormt of niet. Bovendien is er nooit duidelijkheid geweest over de omvang van de 'look-a-like' fraude. Men heeft aangenomen dat deze fraude een groot probleem is, en dat biometrie het antwoord daarop zou zijn.
(...)
De problemen met het biometrisch paspoort hebben een lange geschiedenis. Vincent Böhre stelde in 2010 in het WRR-rapport 'Happy Landings? Het biometrische paspoort als zwarte doos' vast dat het begrip privacy sinds eind jaren negentig meer en meer naar de achtergrond is verdwenen, en dat er nauwelijks gedegen onderzoek is gedaan naar de effectiviteit van biometrie in het paspoort. Vorig jaar gaf toenmalig minister van Binnenlandse Zaken Piet Hein Donner opdracht tot onderzoek. Hij bepaalde toen onder druk van de Tweede Kamer dat vingerafdrukken uit paspoorten voorlopig niet centraal of door gemeenten worden opgeslagen. De Tweede Kamer vond dat systeem niet veilig en was bang voor fouten. De gemeentes beloofden toen de al opgeslagen vingerafdrukken te wissen uit hun databestanden. (...)

Inmiddels lopen er zeven rechtszaken van mensen die hebben geweigerd hun vingerafdrukken af te geven. Zij eisen een geldig identiteitsbewijs zonder vingerafdrukken van de overheid. Afgelopen donderdag diende bijvoorbeeld de zaak van Nanette Boers (25). Zij vindt de plicht om je vingerafdrukken af te geven een inbreuk op haar lichaamsintegriteit, en waarschuwt bovendien voor misbruik. Als je je vingerafdrukken eenmaal hebt afgegeven en er een digitaal bestand van is gemaakt, heb je er geen controle meer over. Dat is ook het punt van Peter Jongenelen (47), die in afwachting is van een uitspraak in zijn rechtszaak: 'Als ik veertig jaar geleden jouw identiteit wilde stelen, moest ik bij je inbreken. Nu volstaat een laptop, dat contact maakt met een bestandje ergens op de wereld.'
(...)
De reactie van Privacy First op het rapport van Bekker vindt u HIER."

Lees HIER het hele artikel op de website van radioprogramma 'De Andere Wereld' (IKON). De bijbehorende reportage kunt u HIER terugluisteren.

In heel Nederland is het inmiddels schering en inslag: openbaar cameratoezicht. Ook industriegebieden worden met camera's volgehangen, bijvoorbeeld op bedrijventerrein BT A12 in Ede. Door de lokale omroep Ede FM werd Privacy First om een reactie gevraagd; het hele fragment vindt u hieronder. (Excuses voor de storingen in het geluidsbestand.)

Nederland is een democratische rechtsstaat. Dat houdt in dat ieder overheidsoptreden 1) democratisch gelegitimeerd dient te zijn én 2) aan het recht onderworpen is. Het recht bepaalt dus waar de overheid zich aan te houden heeft. Zoals het verbod van eigenrichting voor iedere burger geldt, zo geldt dat ook voor de overheid zelf. In die zin heeft de overheid een belangrijke voorbeeldfunctie. Maar wat nu indien de overheid een rechterlijke uitspraak aan haar laars lapt? Gelukkig kunnen burgers in een rechtsstaat dan opnieuw naar de rechter stappen om de overheid tot de orde te roepen. Dit gebeurde vorig jaar in een rechtszaak tegen de Nederlandse Zorgautoriteit (NZa) over de medische privacy en het beroepsgeheim in de geestelijke gezondheidszorg (GGZ). Vorige week oordeelde het College van Beroep voor het bedrijfsleven (CBb) dat de NZa een eerder vonnis van het College niet had nageleefd en alsnog dient uit te voeren. Privacy First licht de uitspraak van het College hieronder kort voor u toe.

In 2008 is in Nederland het systeem van de zogeheten Diagnose Behandel Combinatie (DBC) ingevoerd. Dit houdt in dat iedere medische behandeling een speciale code heeft. Die code staat op de factuur voor uzelf en voor uw zorgverzekeraar. Zo kan uw zorgverzekeraar uw declaratie controleren. Daarnaast wordt op de factuur een korte omschrijving (‘lekenomschrijving’) vermeld. Iedere DBC-registratie wordt tevens (gepseudonimiseerd) ingevoerd in een centrale database van de overheid: het DBC Informatiesysteem (DIS). Deze database kan onder meer geraadpleegd worden door het Centraal Bureau voor de Statistiek. Middels koppeling zijn de DBC-gegevens eenvoudig tot individuele personen te herleiden. Dit alles vormt een schending van de medische privacy (bij patiënten) en het medisch beroepsgeheim (bij medisch specialisten), zo ook in de curatieve geestelijke gezondheidszorg. Enkele jaren geleden trokken een aantal vrijgevestigde psychiaters en psychotherapeuten (waaronder Stichting KDVP en DeVrijePsych) hierover terecht aan de noodrem bij de NZa. Hun bezwaren tegen de DBC-systematiek werden door de NZa echter ongegrond verklaard, waarna een procedure bij het CBb volgde. In augustus 2010 stelde het College de psychiaters en psychotherapeuten in het gelijk: de NZa diende hen voortaan van het DBC-systeem uit te zonderen. De NZa bleek echter onwillig om dit vonnis na te leven, waarna begin 2011 opnieuw een procedure bij het College volgde ter bevestiging van het eerdere vonnis. In zijn uitspraak van 8 maart jl. oordeelt het College dat de NZa het eerdere vonnis niet heeft nageleefd:

“Uit het voorgaande volgt dat de vraag of [de NZa] in haar nieuwe beslissing op bezwaar op juiste wijze uitvoering heeft gegeven aan de eerdere uitspraak van het College, ontkennend moet worden beantwoord." (par. 5.33)

De kernoverweging in de eerdere uitspraak van het College luidde als volgt:

“Het verstrekken aan zorgverzekeraars van diagnose-informatie over individuele patiënten maakt inbreuk op de medische privacy van deze patiënten. Appellanten hebben uitvoerig toegelicht welke bezwaren vanuit het perspectief van de patiënt, de behandeling en het beroepsgeheim van de behandelaar zijn verbonden aan het doorgeven van dergelijke informatie aan derden die niet bij de behandeling zijn betrokken. Naar het oordeel van het College zijn deze bezwaren zwaarwegend: het gaat om diagnoses die de kern van het privéleven van de betrokken persoon raken, zodat informatie hierover zeer privacygevoelig is. Daar komt bij dat, zoals appellanten hebben betoogd, vertrouwelijkheid en geheimhouding bij de behandeling van psychische klachten van groot belang zijn.” (par. 2.4.4.3)

In het nieuwe vonnis verplicht het College de NZa tot het maken van een opt-out privacyregeling voor de aanlevering van diagnose-informatie bij de behandeling van psychische klachten in de GGZ:

"Het resultaat van deze wijziging van het declaratiesysteem zal in elk geval dienen te zijn, dat de verplichting tot het vermelden van de diagnose-classificatiecode, alsook de verplichting tot het vermelden van andere gegevens op de declaratie waaruit een diagnose kan worden afgeleid, als zodanig komt te vervallen." (par. 5.42)

Het College concludeert in dit verband  dat de NZa (en VWS) over de bevoegdheden beschikt om dit te realiseren en dat een uitzonderingsregeling (opt-out) zeer goed te verwezenlijken is. Als kersverse winnares van een Big Brother Award vormt het een uitgelezen kans voor minister Schippers om haar privacyblazoen te zuiveren door nauwlettend toe te zien op de uitvoering hiervan door de NZa. Privacy First zal dit graag blijven monitoren.

Update 10 juni 2012: de NZa heeft het vonnis van het College inmiddels nageleefd door aanpassing van haar regelgeving. Per 7 juni jl. gelden 'naar letter en geest' van het vonnis van het College nieuwe NZa-beleidsregels voor de GGZ: 

1. Patiënten in psychotherapeutische of psychiatrische behandeling kunnen ter bescherming van hun privacy diagnosevermelding op de declaratie afwijzen. Wanneer patiënten van hun ziektekostenverzekering gebruik willen maken stellen zij met de behandelaar een 'privacyverklaring' op en sturen deze naar de verzekeraar. Diagnosevermelding op de declaratie is dan niet langer verplicht. Wel kan de medisch adviseur van de ziektekostenverzekeraar onder medisch beroepsgeheim om inlichtingen vragen.

2. Bij zelfbetalende patiënten is diagnosevermelding op de rekening niet langer verplicht. Een privacyverklaring is niet nodig.

3. In deze twee gevallen is ook toezending van DBC-registraties aan het DBC Informatiesysteem (DIS) niet langer verplicht.

Meer hierover vindt u HIER op het weblog van DeVrijePsych. Klik HIER voor het volledige besluit van de NZa d.d. 7 juni jl.

Update 7 juli 2012: Privacy First blijkt te vroeg gejuicht te hebben: Stichting KDVP gaat tegen de nieuwe beleidsregels van de NZa in beroep. "De door de  NZa opgestelde opt-out regeling is onvolledig, niet effectief en bijgevolg onbruikbaar in de praktijk van de verzekerde zorgverlening in de GGZ", aldus KDVP op haar website. De NZa blijkt immers onder meer te hebben "nagelaten om te voorzien in de noodzakelijke voorlichting over de invoering van een privacy opt-out regeling voor de GGZ" en de regeling onvoldoende te hebben uitgewerkt om te verhinderen dat diagnose-informatie (alsnog) kan worden uitgewisseld. Met de huidige opt-out regeling wordt namelijk niet voorkomen "dat uit coderingen en gedeclareerde bedragen alsnog diagnose-informatie te herleiden is." Het volledige standpunt van Stichting KDVP kunt u HIER lezen. Het zou de NZa sieren om de door Stichting KDVP geconstateerde gebreken in de opt-out regeling z.s.m. te repareren.

Vandaag verzond Stichting Privacy First onderstaande brief aan de Tweede Kamer:

Geachte Kamerleden,

In het kader van het Algemeen Overleg op 7 maart as. over de herziening van EU-wetgeving inzake bescherming persoonsgegevens attendeert Privacy First u hierbij op een belangrijk aspect dat vooralsnog geen publieke aandacht lijkt te hebben gekregen: de voorgestelde rechtsmiddelen ter bescherming van persoonsgegevens in collectieve zin. Wij doelen hierbij op de huidige concept-Privacyrichtlijn, art. 53 lid 1 juncto art. 50 lid 2, laatste zin: "The organisation or association must be duly mandated by the data subject(s)."[1] Deze voorwaarde ontbreekt in parallelle bepalingen van de concept-Privacyverordening en zal dus alleen gaan gelden in de sfeer van politie in justitie. De achterliggende motivatie van de Europese Commissie is Privacy First vooralsnog onbekend.

In de Nederlandse vertaling van de concept-Richtlijn luidt de betreffende bepaling als volgt:"De organisatie of vereniging moet daartoe naar behoren door de betrokkene(n) gemachtigd zijn." Deze bepaling vormt een blokkering van de toegang tot de rechter voor stichtingen en verenigingen die onder huidig Nederlands recht in het algemeen belang privacyprocessen tegen de overheid (inclusief politie en justitie) kunnen voeren zonder daartoe vooraf door individuele burgers gemachtigd te zijn. In die zin werpt de bepaling een onwettelijke drempel op tegen het voeren van zogeheten 'algemeen-belangacties' ter bescherming van ieders privacy.

Ook indien deze bepaling 'slechts' gelezen zou worden als een zogeheten 'representativiteitseis' is deze in strijd met het collectieve actierecht zoals dat in Nederland sinds 1994 geldt; zie art. 3:305a BW en art. 1:2 lid 3 Awb (algemeen-belangactie) plus bijbehorende wetsgeschiedenis en jurisprudentie. Bij de totstandkoming van deze Nederlandse wetsartikelen is nadrukkelijk géén representativiteitsvereiste aan de stichting of vereniging in kwestie gesteld. Begin 2010 bevestigde de Hoge Raad dit als volgt:

"Zoals blijkt uit de wetsgeschiedenis (...) heeft de wetgever bewust ervan afgezien om representativiteit van de eisende rechtspersoon als voorwaarde in de wet op te nemen, zodat niet als eis gesteld kan worden dat de collectieve actie kan rekenen op de steun van een aanmerkelijk deel van de in aanmerking komende belanghebbenden."[2]

In dit verband verwijst Privacy First tevens naar het actuele wetsvoorstel collectieve afwikkeling massaschade: een eerder in dit wetsvoorstel opgenomen representativiteitseis is onlangs geschrapt na terechte kritiek van de Raad van State en de Nederlandse Vereniging voor Rechtspraak.[3]

Tijdens het Algemeen Overleg op 15 september 2011 stelde staatssecretaris Teeven bovendien het volgende:

"Op de vraag of we een collectief klachtrecht voor betrokkenen gaan regelen, kan ik antwoorden dat er al een mogelijkheid bestaat tot het bundelen van klachten. Artikel 3:305a van het Burgerlijk Wetboek kent die mogelijkheid. Een specifieke mogelijkheid voor privacyklachten kan beter op Europees niveau worden geregeld. Daar worden initiatieven toe ondernomen. We zullen daarover op een volgende vergadering van de Europese Raad spreken en die ontwikkelingen wil ik nog meenemen. Op dit moment bestaat zo'n mogelijkheid al wel, maar je kunt je afvragen of die voldoende effectief is."[4]

Door de voorgestelde bepaling in de concept-Richtlijn wordt het collectieve actierecht echter juist minder effectief, want afhankelijk van voorafgaande machtiging door individuele burgers. Algemeen-belangacties ter bescherming van ieders recht op privacy zouden daardoor tot het verleden (kunnen) gaan behoren.

Tenslotte dient hier te worden opgemerkt dat het collectieve actierecht voorheen reeds bestond in (onder meer) art. 10 van de vroegere Wet persoonsregistraties (Wpr):

"Op dit voor de praktijk belangrijke punt is de handhaving van de wet niet uitsluitend overgelaten aan de individuele geregistreerde. Volgens artikel 10 zijn ook rechtspersonen die krachtens hun doelstelling en blijkens hun feitelijke werkzaamheden de belangen behartigen van de geregistreerden, bevoegd tot het instellen van een vordering bij de burgerlijke rechter. Het kan hierbij ook gaan om een rechtspersoon die ideëel het belang van de bescherming van de persoonlijke levenssfeer behartigt. Het veld van maatschappelijke krachten kan op deze wijze invloed uitoefenen op de handhaving van de wet."[5]

Met de invoering van art. 3:305a BW kwam deze bepaling uit de Wpr te vervallen. Een vergelijkbare bepaling werd vervolgens niet opgenomen in de Wet bescherming persoonsgegevens (Wbp), aangezien dit vanwege het algemeen werkende art. 3:305a BW en art. 1:2 lid 3 Awb overbodig werd geacht.

Hoe rijmt staatssecretaris Teeven bovenstaande constateringen met elkaar? En is de betreffende passage in art. 50 lid 2 concept-Richtlijn door Nederland 'ingestoken' of daar beland op initiatief van de Europese Commissie of andere EU-lidstaten? Zo ja, welke lidstaten? Erkent de Nederlandse regering dat dit aspect van de concept-Richtlijn uit de pas loopt met Nederlands recht en een achteruitgang in collectieve rechtsbescherming teweegbrengt (wellicht ook in andere EU-lidstaten)? Zo ja, is de Nederlandse regering bereid om hier in Brussel een onderhandelingspunt van te maken en deze passage te laten schrappen of te laten herzien?
(...)
Hoogachtend,

Stichting Privacy First

---------------------------------
[1] Voorstel voor een EU-richtlijn betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, COM(2012) 10 (25 januari 2012), art. 50 lid 2.

[2] Hoge Raad 26 februari 2010, LJN: BK5756, r.o. 4.2; JBPr 2010/30, m.nt. Wijers; NJ 2011/473, m.nt. Snijders.

[3] Zie Kamerstukken II 2011/12, 33126, nr. 3, p. 6.

[4] Kamerstukken II 2011/12, 32761, nr. 2, p. 20 (nadruk SPF).

[5] Kamerstukken II 1984/85, 19095, nr. 3 (MvT Wpr), p. 32. Zie tevens ibid., p. 39.

Eind 2010 verschenen in opdracht van de Wetenschappelijke Raad voor het Regeringsbeleid (WRR) twee onderzoeksrapporten over de nieuwe Paspoortwet die veel stof deden opwaaien. Het eerste rapport heette "Happy Landings? Het biometrische paspoort als zwarte doos" en was geschreven door mensenrechtenjurist Vincent Böhre (sindsdien werkzaam bij Privacy First). Het tweede rapport heette "Het biometrische paspoort in Nederland: crash of zachte landing" en was geschreven door biometriespecialist Max Snijder. Beide onderzoeken hadden grotendeels parallel plaatsgevonden, overigens zonder assistentie. De focus van het eerste onderzoek lag met name op politieke, juridische en maatschappelijke aspecten, het tweede op de techniek en industrie. Samen vormden deze onderzoeken als het ware een 'helicopter view' van de materie. De toonzetting van beide rapporten was relatief hard. (Minister Donner typeerde het eerste rapport zelfs als 'combative', zo vernam de auteur ervan uit welingelichte bron.) Beide rapporten kregen veel aandacht in de media en droegen (mede daardoor) bij aan de politieke omslag die op dat moment noodzakelijk was: het stopzetten van de opslag van vingerafdrukken onder de nieuwe Paspoortwet. Na een uiterst kritische parlementaire hoorzitting was deze politieke kentering een feit. Minister Donner hield echter een slag om de arm: hij gaf aan de opslag van vingerafdrukken slechts "voor nu" stop te willen zetten en op lange termijn alsnog een nationale biometrische databank te willen ontwikkelen. Tevens werd door Donner besloten om de twee studies die voor de WRR waren uitgevoerd nog eens 'dunnetjes over te doen', ditmaal met het politiek-ambtelijke besluitvormingsproces en de informatieverstrekking richting het parlement als focus én met vrije toegang tot relevante bronnen (personen en documenten). Begin deze week verscheen eindelijk dit langverwachte onderzoeksrapport van de hand van prof. Roel Bekker. Een aantal opvallende aspecten uit dit rapport laten wij hieronder de revue passeren.

1)  Opvallend is allereerst Bekkers kwalificering van het College Bescherming Persoonsgegevens: van "niet erg krachtig" en "niet in al te stellige bewoordingen" (rond 2002) tot "marginale rol", "niet indringend genoeg" en "geen verdere aanleiding gezien om nog eens aan de bel te trekken" (2007-2008). Privacy First herkent dit beeld volledig.

2)  Hetzelfde geldt voor de advisering door de Raad van State: die was rond 2002 "zonder kritisch oordeel". Ook in latere jaren werd er, in de woorden van de staatsraden zelf, "onvoldoende scherp getoetst". Ook dit aspect herkent Privacy First.

3)  De wens van een centrale biometrische databank bleek van Justitie afkomstig, en zelfs van minister Donner persoonlijk. Het opsporingskarakter van een dergelijke databank (een oude CDA-wens uit 2001) staat daarmee nu buiten kijf.

4)  Des te zorgwekkender is het dat Bekker zich in zijn rapport niet kritisch keert tegen centrale opslag van vingerafdrukken, maar juist lijkt aan te sturen op een mogelijke "heroverweging" daarvan. Dit blijkt zowel uit letterlijke passages als tussen de regels van zijn rapport door.

5)  In het algemeen getuigt het rapport dan ook niet van veel privacy- en mensenrechtelijke kennis bij de auteur. Dit blijkt zowel uit het gebrek aan relevante overwegingen als uit (niet-)gebruikte begrippen. Voorbeelden zijn zinsneden als "in potentie een inbreuk (...) op de privacy" en "veronderstelde inbreuk op de privacy". Hier verwart Bekker wellicht de begrippen "inbreuk" en "schending"  (ongerechtvaardigde inbreuk). Dat e.e.a. sowieso een inbreuk op de privacy vormt is immers zelfs door de Staat al talloze malen erkend.

6)  In privacyrechtelijk opzicht slaat Bekker vooral de plank mis in de paragraaf over function creep (doelverschuiving). Die paragraaf is dusdanig oppervlakkig, naïef, eenzijdig en bagatelliserend dat het hele rapport erdoor aan kwaliteit inboet.

7)  Het rapport noemt consequent de bestrijding van look-alike fraude als doel van de invoering van biometrie op reisdocumenten. Deze look-alike fraude wordt echter nergens in het rapport gekwantificeerd. Dit terwijl Privacy First uit betrouwbare bron weet dat de auteur wel enig onderzoek naar de (relatief geringe) omvang hiervan heeft gedaan. Waarom wordt dit niet vermeld?

8)  Vrijwel alle andere belangen rond biometrie in de nieuwe Paspoortwet blijven in het rapport onbenoemd. Daardoor blijft de mist rond die belangen (en bijbehorende 'spelers') onverminderd groot. Dit geldt met name voor het domein van staatsveiligheid en rampenbestrijding.

9)  De vraag of bewindslieden het parlement van voldoende informatie hebben voorzien wordt deels ontweken en vooral gepareerd met het verwijt dat Kamerleden zelf meer kritische vragen hadden moeten stellen. Saillant detail in dit verband is dat reeds eind 2009 het enorme foutenpercentage (21%) bij verificatie van vingerafdrukken bekend was bij staatssecretaris Bijleveld (BZK). De Tweede Kamer werd echter pas eind april 2011 over dit foutenpercentage geïnformeerd. Nóg saillanter in dit verband is het antwoord op een vraag van het CDA tijdens het vragenuurtje in de Tweede Kamer op 20 april 2010:
- CDA: "Zijn er na het debat dat wij ruim een jaar geleden hadden, nieuwe feiten of argumenten op tafel gekomen die rechtvaardigen dat er onrust of gebrek aan draagvlak zou zijn?"
- Staatssecretaris Bijleveld: "Het antwoord op die vraag is klip-en-klaar: nee." 

10)  Het is tevens jammer dat belangrijke, vertrouwelijke bronnen niet als bijlagen bij het rapport zijn gevoegd. Dit geldt bijvoorbeeld voor de haalbaarheidsstudie uit 2004 die in voetnoot 14 van het rapport wordt vermeld.

11)  Door Bekker wordt terecht betreurd dat er geen ambtenaren van het verantwoordelijke departement (BZK) deelnamen aan de parlementaire hoorzitting in april 2011.

12)  In het rapport wordt een lans gebroken voor biometrisch gewetensbezwaarden: voor hen dient er voortaan keuzevrijheid te zijn. Privacy First onderschrijft dit aspect van harte.

13)  In algemene zin zal de geïnformeerde lezer van dit rapport zich echter niet aan de indruk kunnen onttrekken dat zowel de ambtelijke leiding als relevante bewindspersonen in dit rapport vooral "uit de wind" gehouden worden. In die zin vormt dit rapport helaas een gemiste kans.

Update 13 april 2012: gisteren publiceerde minister Spies van Binnenlandse Zaken (BZK) haar reactie op het rapport Bekker. Positief is dat Spies in haar brief spreekt van een "veranderende tijdgeest" waarbij "de laatste jaren de discussie over privacy weer nadrukkelijker aan de orde is." "We leven nu in een ander tijdsgewricht" waarin "in ieder geval geen sprake [meer] zal zijn van centrale opslag van vingerafdrukken", aldus minister Spies (pp. 2, 4). Tevens bevestigt Spies dat "een wetsvoorstel zal worden ingediend dat er onder andere toe moet leiden dat (...) het opnemen van vingerafdrukken bij de aanvraag van een identiteitskaart kan worden beëindigd" (p. 3). Privacy First onderschrijft deze aspecten en zal blijven toezien op de implementatie ervan op de kortst mogelijke termijn.

"In het eerste decennium van de 21ste eeuw is het recht op privacy in Nederland enorm onder druk komen te staan. Enerzijds vloeide dit voort uit de collectieve mindset na '9/11', waarin voor klassieke burgerrechten zoals het recht op privacy steeds minder plaats leek. Anderzijds vloeide het voort uit razendsnelle technologische ontwikkelingen die inherente privacyrisico's met zich meebrachten. Voorbeelden hiervan zijn de opmars van internet, mobiele telefonie, cameratoezicht en biometrie: allemaal technologie die bedoeld is om de mens te dienen, maar die onze samenleving evengoed kan ontwrichten. Bijvoorbeeld bij misbruik ervan of bij ondoordacht gebruik zonder goede privacywaarborgen. Een ICT-droom kan dan snel omslaan in een maatschappelijke nachtmerrie. Deze constateringen lagen ten grondslag aan de oprichting van Stichting Privacy First in maart 2009. Reeds enkele maanden later (in de zomer van 2009) was de eerste positieve maatschappelijke kentering waarneembaar: mede onder druk van Privacy First leidde de opslag van vingerafdrukken onder de nieuwe Paspoortwet tot een storm van kritiek. Dit werkte vervolgens als maatschappelijk breekijzer: door alle ophef rond de Paspoortwet kwam een brede Nederlandse privacybeweging tot stand. Sindsdien heeft Privacy First haar werkterrein geleidelijk uitgebreid en is het thema privacy steeds hoger op de maatschappelijke agenda komen te staan..."

Lees HIER verder in het jaarverslag van Privacy First over 2011!

In vrijwel alle rechtszaken die inmiddels tegen de nieuwe Paspoortwet aanhangig zijn is een belangrijk onderwerp tot nu toe onderbelicht gebleven: het gebruik van gevoelige persoonsgegevens door geheime diensten. In dit geval draait het om biometrie: digitale gezichtsscans en vingerafdrukken die via paspoorten en identiteitskaarten in allerlei databanken terechtkomen. Momenteel bevinden die databanken zich nog bij gemeenten en bij de paspoortfabrikant in Haarlem (Morpho, voorheen Sagem), in de toekomst ongetwijfeld ook elders, uiteindelijk wereldwijd. In die zin is iedere Nederlander een potentiële globetrotter: op termijn zullen uw vingerafdrukken en gezichtsscan wellicht tot in de verste uithoeken van de wereld te vinden zijn. Niet alleen in de databanken van "bondgenoten", maar ook in de databanken van landen waarmee die "bondgenoten" op hun beurt weer (al dan niet geheime) uitwisselingsverdragen hebben gesloten. En daar is totaal geen zicht op. Evenmin is publiekelijk bekend waar geheime diensten onze biometrie voor willen gebruiken. Een Privacy First-medewerker die dit graag voor de WRR had willen onderzoeken liep al snel tegen een muur van onderzoeksrestricties op. Dus blijft het voorlopig gissen... Mogelijke intelligence-doeleinden van biometrie zijn: 1) identificatie van zwijgende verdachten en "interessante" personen in de openbare ruimte, 2) herkenning van emoties en leugendetectie, 3) de inzet of herkenning van dubbelgangers, 4) spionage, etc. Het eerste doel (identificatie) wordt vergemakkelijkt door het RFID-aspect van de biometrische chip in uw paspoort of ID-kaart. Die chip is daardoor immers op afstand uitleesbaar.

Terug naar ons hoofdonderwerp: het gebruik van gevoelige persoonsgegevens door geheime diensten. Tegenwoordig is dit "appeltje eitje": veel mensen zetten inmiddels ongegeneerd hun halve privéleven op internet, bijvoorbeeld op Facebook. En voorzover die informatie niet op het internet te vinden is, is het wel te traceren in databanken van bedrijven en de overheid. Zoals u in uw studententijd misschien weleens vanuit uw luie stoel de televisie aanzette met een biljartkeu, zo kunnen geheime diensten tegenwoordig "met één druk op de knop" uw hele leven tevoorschijn toveren, inclusief uw vingerafdrukken. Maar mag dat eigenlijk wel? En maakt het in dit verband iets uit of uw vingerafdrukken zijn opgeslagen bij 1) de gemeente, 2) een centrale databank of 3) de paspoortfabrikant? "Ja, dat mag", en "nee, het maakt niet uit waar ze zijn opgeslagen", zo impliceerde de Staat (bij monde van de landsadvocaat) tot medio 2011 consequent:

"Vingerafdrukken zullen ook aan de inlichtingendiensten AIVD en MIVD moeten worden verstrekt. Informatieverstrekking aan deze diensten is geregeld in artikel 17 van de Wet op de Inlichtingen- en veiligheidsdiensten. Dat gold vóór inwerkingtreding van delen van de gewijzigde Paspoortwet. Het wordt met de gewijzigde Paspoortwet niet anders. De vermelding in artikel 4b lid 2 sub d Paspoortwet ("staatsveiligheid") is slechts ingegeven door overwegingen van transparantie."
(Bron: Conclusie van Antwoord in de Paspoortzaak van Privacy First d.d. 28 juli 2010, par. 2.17; woordelijk herhaald in o.a. de verweerschriften van de Staat in de Paspoortzaken van Van Luijk d.d. 29 okt. 2010 & 10 juni 2011 (respectievelijk par. 3.17 & 5.8) en Deutekom d.d. 23 nov. 2010, par. 4.17.) 

Hierin stelt de Staat dus dat er door de nieuwe Paspoortwet in wezen niets zou veranderen, aangezien uw vingerafdrukken allang door de AIVD zouden kunnen worden opgevraagd. Inmiddels is de ontwikkeling van een centrale biometrische databank echter stopgezet en worden uw vingerafdrukken nog "slechts" relatief kort opgeslagen bij de gemeente en de fabrikant, waardoor de discussie in rechte zich inmiddels daarop toespitst. Bijvoorbeeld op 27 oktober jl. in een enkelvoudige kamer van de rechtbank Amsterdam: 

Rechter: "Ja, ik vroeg mij nog even af, mevrouw [landsadvocaat], u zegt, de angst van meneer dat inlichtingen- en veiligheidsdiensten inzage kunnen hebben in zijn persoonsgegevens, zijn vingerafdrukken en gezichtsscan, die [angst] wordt eigenlijk weggenomen door artikel 65 [Paspoortwet]..."
Landsadvocaat: "Artikel 65 ziet alléén op de vingerafdrukken."
Rechter: "Meneer [X] heeft gewezen op de artikelen 17 t/m 34 van de Wet op de Inlichtingen- en Veiligheidsdiensten [WIVD]. Hoe ziet u dat?"
Landsadvocaat: "Ik kan daar heel kort iets over zeggen, hoe je dat in relatie tot elkaar zou moeten zien. (...) Het punt is, daar is in de wetsgeschiedenis natuurlijk ook al het een en ander over gezegd, wanneer wordt dat dan een inzagemogelijkheid: als je een centrale administratie hebt met een biometrische zoekfunctie. Er zijn allerlei voorschriften, maar het is niet zo dat de AIVD bij wijze van spreken met een vingerafdruk zou kunnen aankomen en tegen de gemeente zou kunnen zeggen "laat ons maar eens zien bij wie die vingerafdruk hoort". Maar die mogelijkheid, die is er niet. Er is eenvoudigweg geen biometrische zoekfunctie. De enige verstrekkingsmogelijkheid op dat vlak, wat kunnen gemeenten met vingerafdrukken, die kunnen daar een print van maken, en een print houdt in: een vel papier met puntjes. Dat is de weergave op papier van die vingerafdrukken. Dus de AIVD zou, even aangenomen dat zou zijn voldaan aan de voorwaarden waaronder zij op grond van de WIVD informatie kan opvragen, een naam kunnen opgeven bij de gemeente waar die persoon staat ingeschreven, en daar dan persoonsgegevens opvragen. Voorzover dat vingerafdrukken zou betreffen, is dat dus niet meer dan die print met die puntjes. Dus het kan nooit zo zijn, en dat is toch een belangrijk punt, dat de AIVD met vingerafdrukken aan zou komen, en zou zeggen: van wie zijn deze vingerafdrukken?"
Advocaat: "Dat is niet de vrees van mijn cliënt. De vrees van mijn cliënt is dat de AIVD kan zeggen: wij willen de vingerafdrukken van meneer [X] zien."
Landsadvocaat: "Als de AIVD de vingerafdrukken van meneer [X] zou willen hebben, dan heeft de AIVD daarvoor de reisdocumentenadministratie niet nodig. Die zitten bij wijze van spreken hier op de stukken, op het bekertje..."
Advocaat: "Nou, ik zie niemand van de AIVD hier de vingerafdrukken van mijn cliënt afnemen, en het gaat niet alleen om hemzelf, het gaat erom dat hij zegt: ik vind het in strijd met mijn geweten om eraan mee te werken dat op die manier in feite van alle Nederlanders de vingerafdrukken kúnnen worden opgevraagd door de AIVD. Niet alleen de zijne, maar die van iedereen."
Rechter: "Met de regelgeving die er nu ligt, is het dan praktisch mogelijk dat de AIVD naar de gemeente Amsterdam stapt en zegt: wij zouden graag de vingerafdrukken van meneer [X] willen hebben?"
Landsadvocaat: "Uuh, nou [onverstaanbaar], artikel 65 tweede lid [Paspoortwet] zegt dat de vingerafdrukken niet mogen worden gevraagd anders dan voor de aanvraag- en uitgiftebevoegdheid. Voorzover de AIVD op grond van eigen regelgeving wél die gegevens zou mogen opvragen, zou dat dus niet meer kunnen zijn dan die puntjes.  Want de gemeente heeft ook niets anders."
Interruptie vanuit publiek: "Wel via [paspoortfabrikant] Morpho."
Rechter: "U bent geen partij in dit geding. Ik moet u toch vragen om niet mee te procederen." 

Louter een "print met puntjes" dus, bij de gemeente, aldus de landsadvocaat. Het vorderen van vingerafdrukken bij de paspoortfabrikant bleef tijdens deze rechtszitting helaas onbesproken. Vervolgens werd de zaak binnen de rechtbank Amsterdam naar de meervoudige kamer (drie rechters) doorverwezen. Daar kwam dit punt op 25 januari jl. alsnog kort aan bod, en wel als volgt:

Rechter 3: "En hoe zit het dan als de informatie bij de producent is?"
Landsadvocaat: "Uuuuhhh.... Op welke basis zou die dan die gegevens mogen verstrekken?"
Rechter 3: "Nou, dat vraag ik aan u."
Op deze vraag volgt geen duidelijk antwoord van de kant van de landsadvocaat, maar slechts een vage verwijzing naar art. 65 lid 2 Paspoortwet. Vervolgens valt er een pijnlijke stilte... en vragen de rechters op dit punt niet door.
Rechter 3: "En meneer [advocaat van X], hoe ziet u dat op dit punt?"
Advocaat: "Anders!" [hilariteit bij het publiek] De advocaat van X verwijst vervolgens uitgebreid naar de relevante wetsgeschiedenis van de Paspoortwet en de bepalingen van de WIVD 2002.
Landsadvocaat: "Zelfs als het zo zou zijn dat de AIVD op basis van art. 17 WIVD tóch vingerafdrukken zou kunnen vragen, dan zouden ze nooit meer dan alleen een print met die puntjes krijgen.  (...) Dan zou men een print krijgen van de vingerafdrukken, en dat is dus een print met puntjes." Even later, na mondelinge attendering door een ambtenaar van BZK: "Ik heb net iets verkeerd gezegd. Ik heb gezegd dat je een print krijgt met puntjes, maar ik begrijp nu dat je een print krijgt met een plaatje."

Na een dozijn rechtszittingen over de Paspoortwet luidt de officiële toelichting van de Staat op het gebruik van vingerafdrukken door geheime diensten dus als volgt: "een print met een plaatje, bij de gemeente". Blijft dus de vraag of e.e.a. ook digitaal kan worden opgevraagd bij 1) de gemeente en 2) de paspoortfabrikant, en zo ja, wat er dan vervolgens precies mee gebeurt. Idem voor de gezichtsscan. De eerstvolgende rechtszitting in de Paspoortwet-saga volgt op maandag 2 april as. (11.00u) bij de Raad van State. Het is dan aan de Raad om deze kwestie alsnog op te helderen en daartoe desnoods getuigen-deskundigen op te roepen.

Update 10 feb. 2012: naar aanleiding van bovenstaand bericht zijn schriftelijke vragen gesteld door Europarlementariër Sophie in 't Veld aan zowel paspoortfabrikant Morpho als aan de Europese Commissie. Parallel hieraan heeft Tweede Kamerlid Gerard Schouw vergelijkbare Kamervragen gesteld aan minister Liesbeth Spies van Binnenlandse Zaken.

"Die Niederlande wollen ab Sommer die Kennzeichen aller einreisenden Fahrzeuge erfassen. Zumindest für 90 Stunden pro Monat.

Die Niederländer haben einigen Ehrgeiz entwickelt, wenn es darum geht zu erklären, dass ihr neues Kamera-Überwachungssystem kein Zeichen dafür ist, dass sie mit den offenen europäischen Grenzen eigentlich gar nicht so zufrieden sind. »Diese Überwachung hat nicht den Charakter früherer Grenzkontrollen«, heißt es auf der Internetseite der niederländischen Botschaft in Berlin. Es gehe einzig darum, Menschenschmuggel, Menschenhandel und Geldwäsche zu verhindern, sagt Gerd Leers, Minister für Einwanderung und Asyl, unter dessen Federführung das Projekt läuft.

Niemand sollte etwas merken

Erklärungen das Ministeriums zum Kamera-Überwachungssystem lesen sich meist wie Rechtfertigungen, und weil man damit gerechnet hat, dass die Maßnahme auf einigen Widerstand treffen wird, sollte sie so eingeführt werden, dass möglichst Wenige etwas davon mitbekommen. Erst als niederländische Medien nachfragten, welchen Zweck die von ihnen entdeckten Kameras an einer Grenzen im Norden des Landes erfüllen, wurde das Projekt öffentlich.

Mittlerweile allerdings ist es für jeden offensichtlich, der über die Autobahn oder eine Nationalstraße in die Niederlande fährt. So zum Beispiel am Grenzübergang Vetschau, wo die A4 in die A76 mündet, in Höhe von Bocholtz. An einem Stahlträger über den Fahrbahnen sind mehrere Kameras in­stalliert. Noch seien sie nicht in Betrieb, sagt René Claessen, Sprecher der Koninklijke Marechaussee (niederländische Nationalpolizei) auf Anfrage unserer Zeitung, die Geräte befänden sich in der Probephase. »Die Kameras werden erst kurz vor dem Sommer aktiviert«, sagt Claessen. Zum Einsatz kommen sie an den 15 meist frequentierten Grenzübergängen. Fünf davon teilen sich die Niederlande mit Belgien, zehn mit Deutschland, die meisten liegen in NRW. Daneben ist geplant, weitere sechs mobile Kameras einzusetzen.

Nach Angaben des Ministeriums wird von allen vorbeifahrenden Fahrzeugen Vorderseite und Nummernschild fotografiert. Die gewonnenen Daten gehen an die Koninklijke Marechaussee, die sie mit eingespeicherten Risikoprofilen abgleicht. Bei einem Treffer wird das Fahrzeug angehalten.

»Umkehrung des Rechtssystems«

Niederländische Datenschützer kritisieren die Grenzüberwachung, die Stiftung »Privacy First« etwa spricht von einem »enormen Eingriff in die Privatsphäre«. Alle Fahrzeuge zu kontrollieren, um etwas Verdächtiges zu finden, sei eine »Umkehrung des Rechtssystems«. Auf einer von niederländischen Datenschützern betriebenen Internetseite (www.sargasso.nl) heißt es, dass die Nationalpolizei durch die Kameras die Möglichkeit bekomme, die Daten einreisender Fahrzeuge mit »allerlei schwarzen Listen abzugleichen«.

Minister Leers widerspricht dem. Die gewonnenen Daten würden übrigens auch nicht gespeichert. Die Kameras registrierten wohl, aus welchem Land ein Fahrzeug komme. Aber das könnte die Nationalpolizei ja jetzt auch schon feststellen, sagt Leers.

Nachdem Deutschland aus Sorge um den freien Verkehr zwischen den Mitgliedsstaaten bei der Europäischen Kommission Klage eingereicht hat, wartet diese auf mehr Informationen aus den Niederlanden. Leers kündigte an, er werde darauf hinweisen, dass die Kameras nicht gegen Datenschutz- oder Grenzkontrollbestimmungen verstießen. Zudem sollen sie höchstens 90 Stunden pro Monat Aufnahmen machen - von permanenter Grenzkontrolle könne keine Rede sein."

Bron: Aachener Zeitung 24 jan. 2012, p. 5.