Toon items op tag: Privacy

Op veel plaatsen in het publieke domein wordt WiFi aangeboden. Hoewel het vaak wordt gepresenteerd als service om gratis gebruik te kunnen maken van het internet, betaalt een consument alsnog: met zijn of haar data. Privacy First staat voor het recht op privacy in de zin van anonimiteit in de openbare ruimte. Daaronder valt ook het recht op anoniem winkelen. WiFi-tracking zonder de klant te informeren en zonder vooraf om diens toestemming te vragen vormt een flagrante schending van dit recht.

Sinds 2013 heeft Privacy First dit standpunt meerdere malen gecommuniceerd, bijvoorbeeld op Radio 1 en bij BNR Nieuwsradio.

In juni 2016 gaf de Autoriteit Persoonsgegevens in een brief aan gemeenten en detailhandel aan dat het gebruik van WiFi-tracking aan strenge eisen is onderworpen. Begin mei 2019 gaf de gemeente Tilburg aan te stoppen met openbare WiFi in de binnenstad en de spoorzone. "Omdat de gemeente niet voldoende controle en invloed heeft op hoe de leverancier van het WiFi-netwerk met een deel van deze gegevens (in de 'cloud') omgaat, is besloten om de openbare WiFi voor de binnenstad en spoorzone per direct te beëindigen", aldus de gemeente. Bron: https://www.tilburg.nl/actueel/nieuws/item/geen-openbare-wifi-meer-in-binnenstad-en-spoorzone/.

Privacy First juicht deze stap toe en roept andere gemeenten op dit voorbeeld te volgen. Daarnaast roept Privacy First bedrijven op het gebruik van WiFi-tracking te staken omdat het een inbreuk is op de privacy van mensen. Zeker als WiFi-tracking gebruikt wordt voor het volgen van mensen door een winkel met als doel om consumentengedrag te volgen. Vaak is een oplossing te bedenken waarbij privacy by design wordt toegepast. Privacy First verwijst naar de gemeente Nijmegen die met anonieme passantentellingen genomineerd werd voor de Nederlandse Privacy Awards 2019. Privacy First ziet vergelijkbare projecten van andere gemeenten ter bescherming van de privacy in het openbare domein graag tegemoet.

Het Ministerie van Financiën staat op het punt om bedrijven te verplichten op grote schaal persoonlijke data te exporteren. De maatregel zit verstopt in een bijzinnetje van een Kamerbrief van de Minister van Financiën, maar heeft grote gevolgen. De maatregel verplicht bedrijven om bij 'virtual assets' (digitaal te verhandelen waren zoals bitcoins, vastgoed maar ook aankopen in computerspelletjes), klantgegevens mee te sturen. De informatie van alle betrokken partijen blijft zichtbaar voor iedereen in de waardeketen.

Consumenten, bedrijven en burgers kunnen geen bezwaar maken tegen het verplicht toevoegen van hun persoonsgegevens. Politieke aandacht krijgt dit onderwerp niet omdat het wordt gepresenteerd als technische maatregel. In de Kamerbrief van 21 maart 2019 laat de Minister na om te wijzen op de grote reikwijdte en impact. Wel wordt gesuggereerd dat door een consultatieronde aan de reacties van de markt gehoor zal worden gegeven.

Privacy First en VBNL (Verenigde Bitcoinbedrijven Nederland) hebben inmiddels begrepen dat de wereldwijde bezwaren tegen de maatregel worden genegeerd. Daarom stuurden wij vandaag een brandbrief aan de Minister van Financiën. Wij vragen hem het vraagstuk beter te bestuderen, met alle relevante Ministeries en vooral ook: om het parlement beter te informeren. Daarbij wijzen we op de strijdigheid die de maatregel kan hebben met andere internationale afspraken en verdragen die de persoonlijke levenssfeer beschermen.

Waar bekend is dat de consument zeer terughoudend is met het zélf ter beschikking stellen van de eigen gegevens, moet de overheid dat ook zijn. Privacy First vindt het uitermate kwalijk dat het Ministerie van Financiën van plan lijkt te zijn op een achternamiddag met één pennestreek namens alle Nederlandse consumenten en bedrijven tot in lengte van dagen toestemming te geven voor ongebreidelde export van persoonsdata in het economisch verkeer.

De argumentatie dat sprake zou zijn van een noodzakelijke maatregel voor terrorismebestrijding is ongegrond. Deskundigen bij Europol (!) geven aan dat genoemd internationaal voorstel ‘overkill’ is en niet nodig voor de opsporing. De regel voegt niets toe aan het bestaande Europese raamwerk ter bestrijding van witwassen en terrorismefinanciering en verhoogt slechts het risico van ongewenste datalekken.

Privacy First en VBNL hopen dat door de brandbrief het parlement beseft dat sprake is van een maatregel die zelfs verder gaat dan PSD2. Bij PSD2 kan de consument namelijk zélf besluiten om data te delen. Bij dit voorstel zou dat recht tot in lengte van dagen voor allerlei economische handelingen worden ontnomen. Wij roepen daarom de parlementariërs op om de consument en het bedrijfsleven te beschermen tegen deze onnodige voorgenomen maatregel.

Onze gehele brief is HIER te lezen (pdf).

Dit bericht is tevens gepubliceerd op https://bitcoin.nl/nieuws/minister-hoekstra-voorkom-ongebreidelde-export-van-eu-persoonsgegevens-379.

PSD2-me-niet-register

Is innovatie met betaalgegevens mogelijk met behoud van privacy? PSD2 is de nieuwe Europese bankenwet waardoor betaalgegevens ook met niet-bancaire partijen gedeeld kunnen worden. De wetgever heeft echter verzuimd om privacy by design door te voeren. Stichting Privacy First neemt daarom het initiatief voor een PSD2-me-niet-register. Dit is een opt-out register waarmee rekeningnummers gefilterd kunnen worden. De use-cases zijn rekeningnummers van “bijzondere persoonsgegevens” zoals een betaling aan een vakbond, zorgverlener, politieke partij of organisatie die seksuele voorkeur onthult. En consumenten die hun tegenrekening gefilterd willen hebben. Het PSD2-me-niet-register kan richtinggevend worden op Europees niveau.

Bron: https://www.sidnfonds.nl/nieuws/de-eerste-pioniers-van-2019, 22 mei 2019.

Volg https://psd2meniet.nl voor updates en wordt alvast lid van ons PSD2 Privacy Panel!

Privacy First is voor al haar projecten en bijbehorende werkzaamheden grotendeels afhankelijk van donaties. Hoe meer financiële steun en donaties, hoe eerder Privacy First het PSD2-me-niet-register zal kunnen realiseren!

"Bij uitkeringsinstantie UWV zijn illegaal zo’n 117.000 cv’s gedownload. Dat gebeurde tussen 16 en 30 april vanuit de website werk.nl, meldt minister Wouter Koolmees (Sociale Zaken en Werkgelegenheid). De gedetailleerde informatie is mogelijk in criminele handen gekomen.

De curricula vitae zijn met een account van één werkgever gedownload. Op 30 april werd dit ontdekt en is het account geblokkeerd. De werkgever heeft verklaard niets van de actie te weten. Zijn account is vermoedelijk misbruikt, aldus de minister.

Het Nationaal Cyber Security Centrum (NCSC) is op de hoogte gesteld, net als de Autoriteit Persoonsgegevens. Ook is aangifte bij de politie gedaan. De betrokkenen zijn door het UWV op de hoogte gesteld. Zij hebben het advies gekregen alert te zijn op mogelijke spam en phishingberichten.

Gedetailleerde informatie

Een cv kan van grote waarde zijn voor criminelen, omdat er veel gedetailleerde informatie in te vinden is. Hiermee kan iemand doelwit worden van internetcriminaliteit. Het UWV onderzoekt de mogelijke gevolgen en bekijkt of er verdere herstel- of beveiligingsmaatregelen nodig zijn. De systemen worden extra in de gaten gehouden.
(...)

Schandalig

Vincent Böhre van de Stichting Privacy First noemt het ‘schandalig’ dat er zoveel cv’s illegaal zijn gedownload. ,,Het gaat immers om zeer persoonlijke informatie’, zegt Böhre. ,,Dit is een massaal lek dat doet vermoeden dat het UWV zijn beveiliging niet op orde heeft. Als dat inderdaad het geval is, zou de Autoriteit Persoonsgegevens het UWV een boete kunnen geven.’'

Böhre zegt dat de persoonlijke gegevens op cv’s misbruikt kunnen worden voor het plegen van identiteitsfraude, zeker als daarbij pasfoto’s en burgerservicenummers staan."

Bron: https://www.ad.nl/binnenland/circa-117-000-gelekte-cv-s-van-uwv-mogelijk-in-handen-criminelen~aec97d70/, 3 mei 2019 (via ANP). Tevens gepubliceerd bij o.a. Parool , Dagblad van het Noorden, BN/DeStem, Reformatorisch Dagblad, AVROTROS Opgelicht en AG Connect.

28 januari is de Europese Dag van de Privacy. In dit verband organiseerden ECP en Privacy First op 28 januari 2019 in Nieuwspoort gezamenlijk de Nationale Privacy Conferentie en reikte Privacy First de jaarlijkse Nederlandse Privacy Awards uit. Het was een succesvolle dag waar de belangrijkste spelers op het gebied van privacy in Nederland aanwezig waren. Vertegenwoordigers van de overheid, ondernemers met innovatieve ideeën, juristen, geïnteresseerden en voorvechters, ze waren er allemaal. 

De Nationale Privacy Conferentie werd geopend door dagvoorzitter Tom Jessen (presentator RTL-Z en BNR), die vervolgens het woord gaf aan Bas Filippini (voorzitter Privacy First) en Marjolijn Bonthuis (adjunct-directeur ECP|Platform voor de InformatieSamenleving). 

Bas Filippini – voorzitter Stichting Privacy First

Bas Filippini vertelt dat Stichting Privacy First nu tien jaar bestaat en dat er in die tien jaar veel veranderd is, zowel in positieve als in negatieve zin. De slogan van Privacy First is ‘eigen keuzes in een vrije omgeving’; dat is waar Privacy First voor staat. Dagelijks spreekt Privacy First met een breed privacyveld op basis van feiten en altijd met een positieve insteek. Daarom wil Privacy First door middel van de Nederlandse Privacy Awards graag een groene kaart geven aan organisaties die de privacy in Nederland versterken. Privacy First voert tevens rechtszaken in het algemeen belang, doet aan politieke lobby en organiseert evenementen, waaronder de Nederlandse Privacy Awards. Naast een nationale ambitie heeft Privacy First ook de ambitie om uit te groeien tot een internationale (Europese) organisatie. Privacy First is afhankelijk van donaties en vrijwilligers en doet graag een oproep aan het publiek om Privacy First in haar missie te steunen. 

Marjolijn Bonthuis - adjunct-directeur ECP|Platform voor de InformatieSamenleving

ECP werkt aan de knelpunten die de informatiesamenleving nog heeft. Dat doet ECP graag publiekelijk en met alle relevante partijen. ECP is er trots op dat een brede afspiegeling van de samenleving aanwezig is bij de Nationale Privacy Conferentie en is trots op de unieke samenwerking met Privacy First en de Nederlandse Privacy Awards. De winnaar van de Nederlandse Privacy Awards 2018, IRMA, heeft na de Privacy Awards afgelopen jaar nog diverse andere awards binnengesleept. Dit laat zien dat de Privacy Awards een belangrijke steun zijn voor goede initiatieven.  

ECP doet veel, ook op het gebied van privacy. Op privacygebied gebeurt dat op publiek-privaat vlak, samen met andere initiatieven en werkgroepen. Aan de publieke kant wordt er samengewerkt met het Ministerie van Economische Zaken en mede dankzij hen kan deze dag worden georganiseerd. 

Aleid Wolfsen – Autoriteit Persoonsgegevens (AP) 

De Autoriteit Persoonsgegevens heeft een actuele enquête gehouden die goed weergeeft waar de zorgen in de samenleving zitten als het gaat om de bescherming van privacyrechten. Uit de enquête blijken verrassende dingen: zo heeft 94% van de bevolking enige zorgen of zijn of haar privacyrechten wel worden gerespecteerd, waarvan een derde zelfs veel tot zeer veel zorgen heeft. Dat is één op de drie die serieuze zorgen heeft of de privacyrechten wel goed worden nageleefd. Dit percentage is hoger dan aanvankelijk werd gedacht; mogelijk komt dat door de huidige ontwikkelingen en omdat er veel datalekken in het nieuws zijn geweest. Hierdoor zijn privacyrechten heftig geschonden en zijn mensen teleurgesteld. Het schaden van het vertrouwen doet iets met mensen.

De top drie van zaken waarover mensen de meeste zorgen hebben zijn: ‘kopietje ID’, dit komt mogelijk doordat mensen vaak horen over identiteitsfraude en hoe makkelijk dat gaat. Het tweede waar mensen zich zorgen over maken is het tracken van online zoekgedrag. Hierover ontvangt de Autoriteit Persoonsgegevens veel klachten. Binnenkort komt de Autoriteit Persoonsgegevens met guidance over hoe om te gaan met cookies en tracking cookies. Daarin staat onder andere wat er mag en wat er niet mag. Mensen zijn serieus bezorgd over welke gegevens er allemaal worden verzameld als ze online zijn. Twee vragen die rijzen zijn: welke gegevens worden verzameld en wat gebeurt er met al die gegevens? Hier hebben mensen geen goed zicht op en er wordt geen duidelijke uitleg over gegeven. Het derde waar mensen zich zorgen over maken zijn locatiegegevens. Er is steeds meer berichtgeving over camera’s die overal hangen. En over bijvoorbeeld WiFi-tracking, dat veel wordt toegepast in Nederland. Hierover heeft de Autoriteit Persoonsgegevens onlangs ook een guide uitgegeven. Het tracken van mensen, dat je als vrij burger in een vrij land, vrij in een stad moet kunnen winkelen, vrij moet kunnen reizen, als dat wordt aangetast, daar zijn mensen serieus bezorgd over. Want we willen niet gevolgd worden. Dat is de top drie van de zorgen die mensen hebben. 

De Autoriteit Persoonsgegevens geeft ook altijd tips. Eén ervan is: check de instellingen van de apps op je telefoon. Veel van die apps zijn razend nieuwsgierig. We zijn ons onbewust van het feit dat je veel over jezelf blootgeeft aan die apps en veel informatie prijsgeeft als je de instellingen niet aanpast. Wees je bijvoorbeeld bewust van het dataspoor dat je achterlaat op het internet. En daarnaast: maak gebruik van je privacyrechten. Veel mensen zijn zich nog onbewust van het feit dat je aan organisaties kan vragen welke gegevens ze over je hebben, dat je die gegevens kunt laten verwijderen als ze niet meer nodig zijn of ze kunt laten corrigeren. Of je gaat naar een nieuwe provider en je wilt je data meenemen: dit heet dataportabiliteit en dit recht kennen mensen nog nauwelijks. 

Als kijktip geeft Aleid Wolfsen aan om de documentaire Democracy te kijken, over de totstandkoming van de Algemene Verordening Gegevensbescherming. Bekijk de trailer HIER (Youtube). 

Hoe staat de Autoriteit Persoonsgegevens er, qua werk, nu voor sinds de inwerkingtreding van de AVG op 25 mei tot eind december 2018? Een aantal cijfers: er zijn zo’n 10.000 klachten binnengekomen, oftewel 10.000 potentiële schendingen van de AVG. De AP vond dit opvallend veel; dit hadden zij aanvankelijk lager ingeschat. In 2018 heeft de AP ook heel veel telefoontjes gekregen: het totale aantal lag op zo’n 35.000, dit waren vijf keer meer telefoontjes dan in 2017. Momenteel loopt er een groot aantal onderzoeken. De eerste handhavingsactiviteiten hebben plaatsgevonden en de eerste serieuze boete onder de AVG is opgelegd aan een bedrijf. Het eerste verwerkingsverbod is opgelegd, aan de Belastingdienst in dit geval, wegens de verwerking van het BSN-nummer in het BTW-nummer van zelfstandigen. Ook zijn er voor het eerst dwangsommen opgelegd, aan de Nationale Politie, het UWV en private bedrijven. In de beginfase van de AVG had de AP nog een voorlichtende rol, maar gaandeweg zal de AP steeds strenger worden. Er is ook een toename in het aantal gemelde datalekken en het is schokkend om te zien hoe slecht data soms beveiligd zijn bij zorginstellingen en overheden. De Autoriteit Persoonsgegevens heeft ook veel onderzoek gedaan naar overheden en bedrijven om daar basaal de boel op orde te krijgen, zoals “heeft u een functionaris gegevensbescherming nodig, ja of nee? Heeft u de boekhouding op orde, ja of nee? Heeft u een verwerkingsovereenkomst?” Dat soort basale dingen. Als dit op orde is, dan ondervind je daar veel plezier van. 

Als afsluiting: mensen realiseren zich steeds meer over alles wat met privacy en dataprotectie te maken heeft. En eigenlijk zijn het ook geen synoniemen, want dataprotectie is nog groter en veel meer dan het klassieke privacy. Onder privacy valt onder andere lichamelijke integriteit, je vrijheid van geweten, je huisrecht, je communicatievrijheden en dat je je vrij kunt bewegen. Dat zijn allemaal afzonderlijke grondrechten. Dataprotectie is door de digitalisering inmiddels ontwikkeld tot een soort moeder of hoeder van alle andere grondrechten. Zoals over je geloof, je vrijheid van geweten, je lichamelijke integriteit, je politieke activiteiten, al dat soort informatie vertaalt zich in data. Als je de datarechten van mensen schendt, dan raak je de fundamenten van de westerse rechtsorde. Deze hebben te maken met de democratische rechtsstaat, gelijkheid van mensen, solidariteitssystemen zoals verzekeringen en gelijkwaardigheid van mensen. En al die vier fundamenten zijn at stake als je de privacyrechten van mensen schendt. Als je de privacyrechten niet beschermt, dan eroderen die fundamenten. Om het nog iets groter te maken: de vrijheid van de vrije wil, kan dan ook eroderen. Daarom is privacybescherming zo belangrijk en neemt het belang daarvan iedere dag toe. 

Aleid Wolfsen beantwoordde ook nog een aantal vragen van de dagvoorzitter, zoals over de 10.000 klachten die zijn binnengekomen in 2018. Dit was meer dan aanvankelijk gedacht en de Autoriteit Persoonsgegevens denkt dat dit ook wel zal aanhouden, doordat er steeds meer data wordt verzameld. Met de komst van PSD2 is het toezichtsveld van de Autoriteit Persoonsgevens uitgebreid naar fintechs, waarmee bankgegevens, na toestemming, kunnen worden gedeeld. Deze bankgegevens zijn zeer persoonlijk; daaraan kan je immers zien waar je bent, waar je aan geeft, wat je hobby’s zijn en wat je politieke voorkeur is. 

Er is ook wel kritiek op de AP, aangezien de AP zo’n cruciale rol vervult. De vraag is of ze de werklast wel aankunnen, ook al is de AP inmiddels verdubbeld. Hierop zegt Aleid Wolfsen dat de Autoriteit de komende periode wel moet blijven groeien en misschien zelfs nog wel een keer moet verdubbelen om de toenemende werklast aan te kunnen. 

Vragen uit het publiek

Hoe ziet Aleid Wolfsen de schendingen van privacy die plaatsvinden met toestemming van mensen zelf? Die toestemming is een belangrijk onderdeel van de AVG en mensen drukken online al snel op “OK”, niet omdat mensen lui zijn, maar omdat de teksten te uitgebreid zijn om door te nemen. Of dat je op “OK” moet drukken, omdat je anders niet krijgt wat je wilt en dat hierin eigenlijk geen vrije toestemming mogelijk is. 

Aleid geeft aan dat hij die zorgen grotendeels deelt. Toestemming is een fundament. Maar wat je ziet is dat er allemaal verleidingstechnieken zijn, zodra je op een site zit, door onder andere de kleur en grootte van een knop om toestemming te geven, anders dan je misschien van plan was. Dit is geen privacy by design; het is geen eerlijke, gelijkwaardige keuze. Wat we moeten doen met zijn allen, is strenger worden. Zorgen dat je dat soort systemen goed gaat bekijken. Is het echt zuivere, eerlijke en integere privacy by design? En ten tweede: mensen proberen te emanciperen in ‘weet waar je ja tegen zegt’. Daar zijn mensen zich helaas nog niet goed van bewust. Door een enkele klik kan jouw data heel makkelijk worden verspreid. De Franse toezichthoudercollega’s hebben bijvoorbeeld een boete opgelegd aan Google van 50 miljoen, omdat het niet goed duidelijk was waarvoor je toestemming verleende. Eén van de dingen die moet veranderen is dat je je toestemming even gemakkelijk moet kunnen intrekken, als dat je hem hebt gegeven. 

Een andere vraag uit het publiek ging over de kracht van de boete als signaal. De vraagsteller zou het eigenlijk fijn vinden om eens te zien van de AP dat er een boete zou worden opgelegd over privacy by design. Bedrijven zitten namelijk nog heel erg in compliance modus en willen slechts het minimale doen om aan de wetgeving te voldoen. Terwijl privacy by design gaat over proactief die problemen aanpakken. Dat er bijvoorbeeld een rechtszaak wordt gestart waaruit een boete volgt, omdat er niet het hoogst haalbare werd gedaan. 

Aleid Wolfsen reageert hierop dat je dat dan mooi als voorbeeld zou kunnen gebruiken voor de rest van de wereld. Hij verklapt hierbij een geheim: de AP heeft bij allerlei overheidsinstellingen gekeken of er een Functionaris Gegevensbescherming (FG) aanwezig was, daarbij ook zoekende naar eentje die geen FG had. Die zou de AP dan als voorbeeld kunnen gebruiken voor heel Nederland. Maar uiteindelijk bleek (gelukkig) dat iedereen op tijd een FG had. 

Bekijk de presentatie van Aleid Wolfsen (pdf).

Sophie in ’t Veld – D66 Europarlementariër en privacyvoorvechtster 

We hebben natuurlijk de AVG, of de GDPR zoals we die soms liefkozend noemen. Van de vijftien jaar dat Sophie zich met privacy bezighoudt zijn er vijf jaar opgegaan aan de GDPR. Het was een lang en ingewikkeld proces, met onder andere 4000 amendementen. Vorig jaar waren we natuurlijk heel erg blij dat de GDPR van kracht werd. We waren ook heel trots, van kijk ons Europa nou toch eens even. Wij hebben gewoon de beste privacywet ter wereld! Maar daar mag het natuurlijk niet ophouden. Het begint er natuurlijk al mee, dat de GDPR goed moet worden toegepast en gehandhaafd. En dan valt Sophie in ’t Veld het op, dat de toezichthouders eigenlijk belachelijk weinig middelen hebben gekregen om dat goed te doen. Want het is natuurlijk hartstikke fijn dat de Autoriteit Persoonsgegevens is verdubbeld, naar 150 man. Maar met 150 man tegen Facebook alleen al, begin je natuurlijk bijna niks. Om over alle andere bedrijven maar te zwijgen. En dan hebben we het nog niet eens over de NSA of de Chinese geheime diensten of de Europese geheime diensten. 

We hebben het allemaal over de GDPR en iedereen is vergeten dat er eigenlijk een dataprotection package was. Er was nog een tweede poot, maar die is volstrekt uit het beeld verdwenen. We noemen die onderling de Police Directive, maar eigenlijk heeft hij een hele lange naam (red: Richtlijn (EU) 2016/680 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, en betreffende het vrije verkeer van die gegevens). Het is een richtlijn die regels stelt voor het gebruik van persoonsgegevens door politie, justitie en soms geheime diensten. En de omzetting daarvan is werkelijk belabberd. Er zijn momenteel ongeveer acht EU-lidstaten die hem hebben omgezet, ruimschoots te laat. En dat betekent dat 20 andere lidstaten dat niet hebben gedaan. Maar dit is wel de richtlijn die ons beschermt als de politie bijvoorbeeld gegevens uitwisselt met andere landen. In de tussentijd worden er door de Europese Commissie en de Europese lidstaten nieuwe maatregelen aangekondigd voor het gebruik van persoonsgegevens door politie en justitie, ook over de grenzen heen. Terwijl de bescherming gewoon dramatisch achterblijft en dat is een van de grootste punten van zorg. Wij zijn ons natuurlijk allemaal heel bewust van privacy, risico’s en gegevensbeschermingsrisico’s. Inmiddels weet iedereen wel, dat als je je gegevens aan Facebook geeft, dat er van alles en nog wat mee gedaan kan worden. We zijn eigenlijk ongelooflijk naïef als het gaat over wat de overheid allemaal met onze gegevens mag doen. En dan voornamelijk de overheden die onder de Police Directive zouden vallen. Wij hebben blijkbaar een blind vertrouwen in de overheid, en dat is op zich eigenlijk goed nieuws. Maar Sophie leeft onder het motto van: “trust is good, control is better”. We zien ook gewoon in de praktijk dat er niet alleen maar fouten worden gemaakt met onze gegevens door politie, justitie en veiligheidsdiensten, maar dat er ook sprake is van misbruik. De groei van behoorlijk autoritaire partijen binnen Europa, partijen die inmiddels ook wel aan de macht zijn en die er niet voor terugschrikken om Europese databestanden te gebruiken voor politieke doeleinden, tegen politieke tegenstanders. Dan moeten we ons wel écht zorgen over gaan maken. We zijn hier te naïef over. 

We zijn terecht bezorgd over wat bedrijven met onze persoonsgegevens kunnen doen en of dat goed beschermd is. Maar we zijn ons nog steeds te weinig bewust van het feit dat die bedrijven in overgrote meerderheid, in toenemende mate, niet-Europese bedrijven zijn. Sophie las onlangs een alarmerend rapport van KPMG, waarin is berekend dat van alle grote platformen wereldwijd, er slechts 18% in Europese handen zijn. En als je dat omrekent naar waarde, dan is dat slechts 2%. Wij zijn er zo aan gewend, al voor het internet, dat onze halve economie uit Amerika komt. Dat is even een ander verhaal: driekwart is zo ongeveer in handen van de Amerikanen, dan heb je nog een deel in handen van de Chinezen en een heel minimaal deel in handen van de Europeanen zelf. Wij gebruiken die diensten, dag in dag uit. Dat betekent dan ook, dat zij niet alleen onze gegevens hebben en daarmee ook heel veel geld verdienen. Maar ze vormen ook onze kijk op de wereld. Zij filteren in hoge mate de informatie die tot ons komt. Het wordt nog bitter ironisch als je bedenkt dat onze eigen overheden die bedrijven vragen om de informatie te filteren, uit allemaal zogenaamde veiligheidsoverwegingen. Dit is buitengewoon zorgelijk. We stonden terecht op onze achterste benen na de onthullingen van Facebook en Cambridge Analytica, die de verkiezingen hadden gemanipuleerd. We maken ons grote zorgen over fake news dat wordt gepropageerd door Rusland. Maar het feit dat wij allemaal, elke dag, dit soort diensten gebruiken, zonder erbij stil te staan dat zij ons venster op de wereld zijn, dat is heel zorgelijk. 

Binnen Europa hebben we dan de GDPR en Sophie heeft de hoop dat de Police Directive binnenkort ook goed uitgevoerd gaat worden. Maar ze ziet dat er voortdurend spanningen zijn binnen Europa, waarbij het Europees Parlement in meerderheid staat voor hele stevige privacybescherming en vaak ook standpunten inneemt die dan later door het Europees Hof van Justitie bevestigd worden. Maar ze ziet dat de meer conservatieve krachten en ook de regeringen van de Europese lidstaten, onafhankelijk van de politieke kleur, voortdurend maar ontzettende druk zetten tegen goede privacybescherming. Dit uit een aantal overwegingen, maar vooral de nationale veiligheid. Er is trouwens geen definitie van nationale veiligheid, maar het wordt wel te pas en te onpas gebruikt om de privacy te beperken. Er wordt dan geroepen "privacy zit de nationale veiligheid in de weg". En dat is dan genoeg om de meest kritische stemmen te doen verstommen. Er is ook nog een ander aspect, in de trans-Atlantische verhoudingen met name, dat Europa een ongelooflijk onderdanige houding tentoonspreidt. Dat is in het licht van het voorgaande, dat de meeste bedrijven in handen zijn van de Amerikanen, zorgelijk. 

In Europa is een wet in voorbereiding genaamd e-evidence. In principe een goed idee, want die wet zegt "we hebben een grote open ruimte in Europa zonder binnengrenzen". Boeven kunnen naadloos over de grens samenwerken. Internationale criminele organisaties gebruiken ook internet, apps, mobieltjes en dergelijke. Dus moeten we daar snel op kunnen reageren: als bijvoorbeeld de politie in Nederland digitaal bewijsmateriaal nodig heeft uit Roemenië, dan moet de Nederlandse politie dat rechtstreeks kunnen opvragen. Dat is op zich een logische gedachte, alleen is het jammer dat de Europese Commissie, altijd onder druk van de Europese lidstaten, een voorstel heeft gedaan dat totaal disproportioneel is. Waar nauwelijks nog safeguards voor burgers ingebouwd zitten. Maar wat nog meer zorgen baart is dat de Europese Commissie dit voorstel eigenlijk op tafel heeft gelegd om daarna te kunnen zeggen: wij hebben dit in Europa en nu gaan we hetzelfde doen met Amerika. Dan hebben we toch echt een probleem. In Europa maken we zelf de wetten en kunnen we stemmen voor onze eigen volksvertegenwoordigers. Maar wij hebben geen enkele invloed op de Verenigde Staten. Punt is dat de Verenigde Staten een wet hebben aangenomen genaamd de US Cloud Act. Daarmee hebben ze zichzelf de macht gegeven om bedrijven die een aanwezigheid hebben in de VS, te dwingen om persoonsgegevens te overhandigen ook als ze niet in de VS zijn opgeslagen. Misschien dat wij dat ook wel handig zouden vinden als we dat zouden kunnen doen. Maar in een democratische rechtsstaat vinden wij het toch wel logisch als daar een rechter tussen zit, om zoiets te toetsen. Sophie ziet een houding bij de Europese Commissie en de lidstaten die verregaand onderdanig is aan de VS, in plaats van aan de rechten van de eigen Europese burgers. Ze vindt dat we daarin een omslag moeten maken. 

Dus, jazeker we moeten alert zijn wat bedrijven met onze gegevens doen, maar we moeten ons nog veel meer zorgen maken over wat overheden met onze gegevens kunnen doen. En de vrijwel onbeperkte bevoegdheden die wij de afgelopen jaren hebben geschapen voor politie, justitie en veiligheidsdiensten. Want zeker veiligheidsdiensten, daarop is toch minder controle dan op andere activiteiten. Zelfs al is het in Nederland goed geregeld, dat betekent nog niet dat het in andere landen ook goed geregeld is. Als ze ziet hoe Europese lidstaten de afgelopen jaren de Amerikaanse en de Britse geheime diensten volledig hun gang hebben laten gaan, bijvoorbeeld de hack van Proximus, de Belgische telecomprovider, door de Britse geheime dienst. Dat kan niet onderzocht worden en de waarheid hierover zal nooit volledig boven tafel komen. Maar die diensten breken wel in binnen onze systemen, ook die van Europese instellingen, misschien wel van de NAVO. Dit is overigens ook relevant als je bedenkt wat Brexit allemaal gaat betekenen voor gegevensbescherming. 

Als conclusie moet dit volgens Sophie in ’t Veld echt het volgende hoofdstuk zijn. We moeten nu ten eerste die AVG zeer stevig handhaven en uitleg geven aan hoe die moet worden geïnterpreteerd. Als architecten van de AVG hebben ze zeer expliciet bedoeld dat toestemming of instemming gegeven moet worden in een context, waarmee mensen op een hele simpele en toegankelijke manier informatie krijgen. Dat staat er ook expliciet in, dus als bedrijven dat omzeilen door het ingewikkeld te maken, dan is dat gewoon een overtreding en moeten ze daarvoor bestraft worden. Daarnaast moet de Police Directive geïmplementeerd worden. En wat Sophie in ’t Veld betreft, en daar zal ze de komende jaren druk op uitoefenen, komt er een nieuw voorstel waarbij die Police Directive niet meer een richtlijn is, maar meteen een verordening wordt. Want we hebben steviger bescherming nodig. Misschien wordt het ook tijd om te spreken over Eurocommissarissen en Ministers die gegevens, gebruik van gegevens en bescherming van gegevens als portefeuille hebben. Niet als een nevenactiviteit, maar een Minister voor Data en een Eurocommissaris voor Data. Die gewoon horizontaal kijkt hoe het zit met de gegevensbescherming, maar natuurlijk ook gewoon met het positieve gebruik en de ontwikkeling van persoonsgegevens. 

Ook moeten we kijken naar andere instrumenten, zoals mededingingsregels, belastingen en het vertalen van de economische waarde van persoonsgegevens in een prijskaartje. Laat gebruikers van persoonsgegevens betalen voor het gebruik van die gegevens. Net zoals ze moeten betalen voor het gebruik van energie. Als het wat kost, dan zult u zien dat het gebruik van gegevens omlaag gaat. Dat geldt zowel voor bedrijven als voor overheden, dus misschien moeten we ook eens kijken naar het belasten van de grote internetgiganten, niet op basis van hun winst maar op basis van hun gebruik van persoonsgegevens. 

Uiteindelijk ligt dit ook bij onszelf, we hebben absoluut wetgeving nodig om het individu te beschermen tegen giganten als Facebook of de NSA en de grote jongens, maar uiteindelijk moeten we ook kritische burgers zijn. Natuurlijk is dat een ontwikkelingsproces. Net zoals dat je vanzelfsprekend je deur op slot doet, en dat je bij jezelf nadenkt over hoe je je door deze wereld beweegt. 

Dagvoorzitter Tom Jessen geeft een andere invalshoek. Wanneer je op internet zoekt hoe tech-bedrijven gemaakt zijn, dan kom je ook het woord dopamine tegen. Iedere keer als er een berichtje in je sociale media verschijnt, wanneer je een melding hebt, dan komt er dopamine vrij. Dit heeft een verslavend effect. Nu zijn er campagnes vanuit de overheid over drank, drugs en roken en hij vraagt aan Sophie in ’t Veld of het niet tijd is voor een campagne vanuit de overheid die waarschuwt voor het verslavende effect van sociale media. 

Sophie in ’t Veld reageert hierop: stel, er zijn mensen die niet op Facebook en Instagram zitten, maar dat is niet voldoende. Zelfs al heb je geen mobiele telefoon, zelfs dan word je overal waar je rondloopt gefilmd, is er facial recognition, je ontkomt er niet aan. Daarom is het belangrijk dat we goed reguleren en dat we alle instrumenten gebruiken om ons zo goed mogelijk te beschermen. Ze is het met Aleid Wolfsen eens: het gaat niet om privacy, misschien moeten we daar ook eens een andere term voor verzinnen. Want privacy klinkt toch een beetje als witte wijn en grachtengordel. En dat is natuurlijk niet zo, het heeft zo langzamerhand alles te maken met onze vrijheid, met de kwaliteit van onze democratie, onze burgerrechten, onze verhouding met de overheid en met gelijke behandeling. Dus een campagne vanuit de overheid om te waarschuwen voor het verslavende effect van sociale media is een aardig idee, maar bij lange na niet genoeg. 

Vragen uit het publiek

Vraag uit de zaal: als we het hebben over een andere term voor privacy dan kan er worden gewezen op het boek Surveillance Capitalism van Shoshana Zuboff, daarin gaat het over een sanctuary. Een thuis waarin mensen zichzelf kunnen zijn, zonder zich bespied te voelen et cetera. Deze vraag heeft hier ook mee te maken: veel instanties zoals de Autoriteit Persoonsgegevens zeggen dat digitalisering een feit is. Maar, gezien de huidige stand van de techniek, maar ook van de politiek, hoe denk je over de bescherming van de analoge omgeving? De vrije leefomgeving van mensen waarin ze zich beschermd willen voelen op het gebied van hun persoonsgegevens en de mate waarin ze bespied kunnen worden?

Sophie in ’t Veld reageert dat er natuurlijk nog zoiets is als een analoge wereld, maar we hadden al regels. Er zijn weleens mensen die denken dat er voor de GDPR helemaal niks was en dat de GDPR een soort van oerknal is, maar dat is helemaal niet waar. We hebben al 25 jaar privacywetgeving en diezelfde principes blijven gewoon van toepassing. Punt is dat het niet alleen gaat om de bescherming van privacy, het gaat er ook om wat er bijvoorbeeld met Big Data kan gebeuren. De vraagstelling is dus veel breder dan dat, want laten we er ook bij stilstaan dat het ongelooflijk veel goeds brengt. Maar we moeten wel het individu, de mens, blijven beschermen. Misschien moeten we het niet hebben over bescherming van persoonsgegevens, maar over bescherming van personen. 

Tweede vraag uit het publiek: Neelie Kroes heeft in 2013 naar aanleiding van de Snowden-onthullingen gezegd, toen ze Eurocommissaris was, dat Europa behoefte heeft aan een huge privacy focused company. Voor zover de vraagsteller weet is deze er in de afgelopen zes jaar niet gekomen. En als Europa iets uitvindt, dan wordt dat overgenomen door Amerikanen. De realiteit is dat wij consument zijn van Amerikaanse en Chinese producten. Wat is volgens Sophie in ’t Veld echt nodig in Europa om de concurrentie met de Amerikanen en Chinezen aan te gaan?

Sophie reageert dat er in Europa ongelooflijk veel leuke nieuwe bedrijven en start-ups zijn, maar dat wanneer ze een beetje gaan groeien, ze vaak worden weggekocht. En als je aan die bedrijven vraagt: waarom dan? Dan zeggen ze dat ze in Europa niet meer kunnen groeien, omdat er geen echte Europese markt is. Er zijn gewoon 28 nationale markten en het punt is dat die nationale markten barrières zijn. Want die hebben nationale wetgeving en nationale belastingen. Die fiscale grenzen zijn een drama, die voorkomen dat we onze eigen Europese internetgiganten krijgen. En het punt is dat de nationale lidstaten zich beroepen op hun nationale soevereiniteit. Maar het is een fictieve nationale soevereiniteit, want we geven de macht gewoon weg. In de digitale wereld is praten over nationale soevereiniteit kletskoek. We moeten veel meer concurrentie hebben. We moeten zorgen dat onze Europese kampioenen hier blijven, dat ze niet worden weggekocht en de ruimte krijgen om te groeien en dat moet ook snel gaan gebeuren, want onze afhankelijkheid van Amerikaanse bedrijven en in toenemende mate van Chinese bedrijven is echt heel erg zorgwekkend. 

Laatste vraag uit het publiek gaat over de geldelijke waarde van persoonsgegevens. Sophie in ’t Veld stelde voor als maatregel het betalen voor het gebruik van data en dan is de vraagsteller benieuwd aan wie die betaling gaat plaatsvinden en wat Sophie zich daarbij voorstelt. Want als de gebruiker betaald wordt voor het delen van zijn data, kan dat een extra druk geven om die data te delen. 

Sophie in ’t Veld reageert dat ze niet een groot plan hiervoor in een la heeft liggen. Maar de vraag is: waarom worden al die data door bedrijven opgeslagen? Omdat ze er geld mee verdienen. Dat is dus een prikkel en iets waarmee je ze kan pakken. Je zou dus kunnen beginnen met te zeggen, we gaan bedrijven belasten voor het gebruik van persoonsgegevens. Dus dan zullen ze gedwongen worden om veel meer na te denken of ze al die data nodig hebben. Verdienen ze er wel echt zoveel geld mee? Want dat hele verhaal dat ze dat allemaal nodig hebben vanwege de adverteerders, daar wil ze toch wel haar vraagtekens bij zetten. En of dat verdienmodel wel klopt, of ze allemaal ten gronde zullen gaan als ze dat verdienmodel niet meer kunnen hanteren. 

Er zitten grote ethische aspecten aan, als je bijvoorbeeld zou voorstellen dat mensen de keuze zouden krijgen tussen betalen met hun gegevens of betalen met cash. Mensen die minder vermogend zijn, die zullen dan toch geneigd zijn om te betalen met hun gegevens. Dat vindt ze een ethische kwestie. Maar er zijn ook andere invalshoeken. Zo is er een app ontwikkeld waarmee je kan zien wat jouw waarde op dat moment voor een bedrijf is, en wat jouw handelingen voor invloed hebben op die waarde. Dat maakt mensen al veel bewuster. Er zullen ongetwijfeld nog veel meer goede ideeën komen in die richting.  

Maar hoe dan ook, als bedrijven geld verdienen met gegevens, dat die economische waarde dan ook gebruikt moet worden, dat geldt ook voor de overheid. Want hoe makkelijk is het om voor een nationale wetgever te besluiten “wij moeten alles weten van iedereen, want dat is goed voor de veiligheid.” Dat is heel makkelijk te besluiten als je dat niet in begrotingshandelingen hoeft te verdedigen. Want als het niks kost, omdat al die gegevens toch al voor het grijpen liggen bij al die bedrijven, dan is het makkelijk. Maar als ze er echt voor moeten gaan betalen en als ze moeten zeggen “we gaan minder geld uitgeven aan zorg, want we moeten meer uitgeven aan het opvragen van gegevens”, dan wordt het een ander verhaal en een politieke afweging. De economische waarde van persoonsgegevens meewegen zal dan zeker leiden tot ander gedrag.

Tijmen Schep – Privacy Label

Tijmen Schep start met een vraag aan het publiek: wat is langer, het toneelstuk van Shakespeare Much Ado About Nothing of de iTunes Terms of Service? Het toneelstuk is met 1000 woorden iets langer, maar het scheelt niet veel. Niemand gaat dat dus lezen en iedereen klikt gewoon op I agree. Maar kunnen we dat dan niet beter ontwerpen? Zodat we begrijpen welke data er wordt verzameld en wat daarmee gebeurt. En dat we niet zo’n lap tekst hoeven te lezen die, laten we eerlijk zijn, is gemaakt voor lawyers. Gewoon leesbaar en begrijpelijk. De EU begrijpt al dat dit een issue is. In de AVG staat al dat er in de toekomst iconen kunnen komen, want die maken het allemaal makkelijker. Maar die iconen van de AVG, dat waren nou niet de meest sexy iconen. Dus kreeg Tijmen de vraag van ECP: kunnen jullie hier niet iets mee en kunnen jullie niet iets beters ontwerpen? 

Het eerste wat we beseften is dat we niet een icoontje moesten maken, dat is te simpel en niet genoeg. We moeten een soort template maken, waarbij we als eerste werden geïnspireerd door de Amerikanen, die hebben bijvoorbeeld een systeem waarbij banken tegenwoordig bepaalde vragen moeten beantwoorden op hun website. Gewoon menselijke, begrijpelijke Jip-en-Janneke vragen. Zoals: wat doe je nou precies en hoe?  En dat mogen ze in hun eigen huisstijl doen, zolang ze die vragen maar beantwoorden. Een ander ding wat we interessant vonden was bijvoorbeeld de verpakking van een pak hagelslag. Naast alle informatie die erop staat en keurmerken heb je ook de ingrediëntenlijst en die is eigenlijk heel interessant, want die vertelt je een boel en is tegelijkertijd een beetje vaag. Zo weet je dat er het meeste van het eerste ingrediënt in zit, maar je weet niet precies hoeveel.   

Tijmen geeft vervolgens een demo van het Privacy Label. De demoversie is HIER te bekijken. 

Pitches Privacy Awards

Na deze drie inspirerende presentaties werd het publiek getrakteerd op 7 pitches van organisaties die genomineerd waren voor een Nederlandse Privacy Award.  Hieronder staan alle genomineerden voor de Nederlandse Privacy Awards 2019. Klik op een genomineerde voor de betreffende pitch:  

Brenno de Winter – ICT-onderzoeker

We gaan met elkaar de jungle in. Waarom de jungle? Omdat dieren dingen doorhebben die wij niet doorhebben. Sommige mensen die Brenno de Winter kennen, weten dat hij Aleid Wolfsen (Autoriteit Persoonsgegevens) altijd een soort giraffe vindt. Want wat doet een toezichthouder? Zo’n giraffe eet in Kenia de bomen leeg en draait zich om en gaat naar Tanzania en na exact een half jaar komt hij bij precies dezelfde bomen terug. Vraag maar aan de Belastingdienst, vraag maar aan het UWV, vraag maar aan Google, Facebook et cetera. Dat is wat een toezichthouder doet en ook al ziet hij er oh zo lief uit, maar ondertussen... Maar even verder die jungle in, je ziet hier een paar zebra’s relaxt water drinken. Simpele vraag: is er geen gevaar? Er is een leeuw en toch staan ze relaxt te drinken. Dit komt omdat er andere dieren op de uitkijk staan. En zodra er één klaar is met drinken, wisselt hij een beveiliger af en zo gaan ze verder. Dat doen eigenlijk alle dieren in de jungle, behalve één soort, namelijk de homo sapiens. Wij doen dat niet, wij gaan niet elkaar waarschuwen als er gevaar is, wij gaan niet elkaar vertellen hoe je iets moet doen om gevaar af te wentelen. En dus overvalt, een beetje zoals een narwal, die hele jungle ons met regelgeving die zo eng is.

En waarom de narwal? De narwal is een dier dat heel goed is in verstijven. De hartslag en de stofwisseling gaan omlaag. Dit dier zit bij gevaar dodelijk stil en gaat langzaamaan zo de diepte in. Maar ja, als je gevaar ziet, dan wil je misschien ook wel vluchten of vechten. Dat kan dat dier niet, want hij kan geen piekinspanning meer leveren. Volledig verstijfd gaat hij vervolgens zijn dood tegemoet. 

Brenno laat zijn kat Hiero zien. Hiero ziet iets en verstijft en even later verstijft Hiero een tweede keer en is het duidelijk wat hij gaat doen: díe mug gaat het niet overleven. Ook zo kun je verstijven. Maar in de ICT doen we dat niet. De waanzin voor de invoering van de AVG was bijvoorbeeld, in een Italiaanse slagerij: "Pas op, in onze slagerij zouden wij uw naam kunnen vragen en uw vleesvoorkeur kunnen herinneren. Indien u hiermee niet akkoord gaat, gelieve heel hard IK GA NIET AKKOORD te roepen en vanaf vandaag doen we alsof we u niet kennen."  

Dit was de waanzin vlak voor het ingaan van de AVG en hoe er met dit soort problematiek werd omgegaan. We vonden het doodeng. Zelfs de website Music for Cats is tot groot verdriet van Hiero niet te bereiken en hij zal dan ook die muziek moeten missen, dat dan weer tot vreugde van Brenno. 

En nog steeds gaat het door. Vorige week was er bijvoorbeeld dit artikel: de AVG is schadelijk en beperkend, een litanie over hoeveel gedoe het allemaal is om bijvoorbeeld te weten welke data je allemaal hebt. Je krijgt continu te horen: het is allemaal te complex en te lastig. Brenno heeft lang nagedacht waarom dat zo is. Dat komt onder andere doordat we alles hele enge woorden geven, zoals het woordje cyber erbij. Cyberveilig, cyberplatform et cetera. Ironisch zegt Brenno: begin met het voor jezelf simpeler te maken, zoals de woordjes eerst in het klein te schrijven, dan wordt het weer leesbaar. En laten we daarna nog een stapje doen en het woordje cyber gaan schrappen. Oftewel we hebben het dan weer over woorden en grootheden die eenvoudig zijn en al die zeepsop eromheen een beetje vergeten. 

Brenno heeft een aantal prominente datalekken in Nederland naast elkaar gezet. Ze hebben één ding allemaal met elkaar gemeen en dat is: niet updaten. Het simpelweg niet doen. In november 2018 stond het aantal datalekken dat sinds de invoering van de AVG is gemeld nog op 18.000. Het gaat dus structureel verkeerd, we maken dezelfde fouten opnieuw en opnieuw. 

Hij wordt moedeloos als hij hoort: "het mag niet van de AVG". Lees de AVG voor de grap eens. In de AVG staat 70 keer het woordje ‘risico’ (en niet één keer het woord ‘privacy’). Het woordje ‘risico’ is best wel ingewikkeld, maar Brenno is daarin de laatste tijd een stuk pragmatischer geworden en denkt niet meer in risico’s, maar in hoe dingen fout kunnen gaan. Dat blijkt namelijk al ver voordat de ICT een beetje goed en wel op gang was al de methodiek te zijn. Waarbij je je afvraagt: hoe kan het fout gaan en hoe erg is dat? Dat kun je genormeerd een waarde geven. Hoe vaak komt het voor en hoe detecteerbaar is het als het misgaat? Hij vertelt een anekdote over dat hij laatst bij een klant was die zei dat ze datalekken heel goed detecteerden: “Wij hebben Twitter openstaan en dan zien we het vanzelf langskomen als wij een datalek hebben.”

Hij geeft een voorbeeld van een datalek bij een zorgadministratiekantoor in Singapore. Op 23 augustus 2017 raakt het systeem geïnfecteerd. En reeds op 11 juni kregen de systeembeheerders alarm dat er mensen probeerden in te loggen in het zorgsysteem, waar dat niet zou moeten. Die alarmen herhaalden zich de dagen daarna. En op een gegeven moment bleef het alarm rinkelen en elke keer was het heel veel gedoe om dat uit te schakelen. Met op een gegeven moment de melding dat er mensen medische records aan het benaderen waren. Pas op 9 juli werd het management geïnformeerd. Dit is dus precies wat Brenno eerder bedoelde met het narwalgedrag. We raken zo overweldigd en vinden het zo raar dat iemand probeert ten onrechte in te loggen. Dan gaan we een beetje om ons heen lopen kijken in plaats van iets te doen. Het bizarre is dat dit een hele grote casus blijkt te zijn, waarbij ook van ministers van Singapore medische gegevens zijn gestolen. Hierover is een dik rapport geschreven, waarbij de conclusie is dat een beetje basale hygiëne de aanval zou hebben gestopt. Zullen we afspreken met elkaar om de basale hygiëne te doen, om de simpele dingen te doen?  Niets hoogdravends, niets ingewikkelds, want dit is elke keer de bron van ellende.

De digitale hygiëne, de simpele dingen maken het verschil. En dan is dus het AVG-verhaal een niet ingewikkeld AVG-verhaal. Dan weet je wat je in huis hebt en dan weet je welke risico’s je eventueel loopt. En vervolgens eet de toezichthouder uit je hand, want je hebt alles gedocumenteerd. 

Vragen uit het publiek

Vanuit het publiek komt de opmerking dat het soms moeilijk is om duidelijk te maken wat nou precies de schade is van een datalek, voor bijvoorbeeld een bedrijf bij dit soort risico’s.

Brenno de Winter reageert dat het niet makkelijk is om dit in geld uit te drukken. Als het medisch dossier van de premier van Singapore op straat ligt: pijnlijker dan dat wordt het niet. Als je een centraal medisch systeem hebt, waarbij je bij alle data kunt komen. En dit is niet de eerste keer, daarvoor hebben we ook al met het Wannacry virus zoiets gezien in het Verenigd Koninkrijk waar ze ook alle systemen al gecentraliseerd hadden. Eigenlijk betekent dat, dat je dan afscheid hebt genomen van het medisch beroepsgeheim. Als een organisatie niet wil inzien dat de data die zij hebben enige waarde heeft, dan kunnen we elk project of Big Data project gelijk gaan stoppen. En als dat niet wordt geapprecieerd, dan is de enige stok achter de deur nog wettelijke handhaving. 

Jeroen Terstegge – Privacy Management Partners

Aan Jeroen Terstegge is gevraagd om een overzicht te geven van reacties uit het bedrijfsleven. Hij heeft gekeken in zijn eigen klantenkring en sociale media, en geprobeerd om mensen te categoriseren. En die narwal van Brenno de Winter zit er niet tussen, maar dat is eigenlijk categorie nummer elf.

1. Hel-en-verdoemenis prediker
Met stip op nummer 1 staat de ‘hel-en-verdoemenis prediker’. U kent ze wel, ze beginnen elke training, elk verkooppraatje, elke cursus en elke presentatie en nu dus ook met ‘er komen hoge boetes aan’. Twintig miljoen of 4% van je wereldwijde jaaromzet. Het voelt als veel, en veel klanten die om hulp vragen bij de AVG beginnen dus ook met ‘want er komen hoge boetes aan en hoe hoog zijn ze dan voor mij?’ En Jeroen zegt daarop dat voor het zinnetje over de boetes een ander zinnetje staat waarin wordt aangegeven dat de boetes proportioneel moeten zijn. En proportioneel betekent onder andere dat je er niet aan failliet gaat. Die boetes zijn niet bedoeld voor de gemiddelde MKB’er of de gemiddelde voetbalvereniging. Maar toch blijft het een goed verkooppraatje voor de zelfbenoemde AVG-experts, want daar zijn er heel veel van tegenwoordig. Aan de AVG hangt ook de persoonlijke aansprakelijkheid voor bestuurders, waar veelvuldig voor wordt gewaarschuwd. Die AVG-experts hebben waarschijnlijk Jeroen Terstegge horen spreken op het congres van het Nationaal Cyber Security Centrum over datalekken. Waarin hij het uit 1954 stammende ‘IJzerdraadarrest’ van de Hoge Raad heeft genoemd, waaruit volgt dat het mogelijk is dat een boete persoonlijk wordt opgelegd wanneer de leidinggevende persoonlijk heeft leidinggegeven aan de overtreding. Dat is vaststaand recht en dat volgt niet uit de AVG. Maar het is een goed verkooppraatje, waarvoor veel mensen gevoelig lijken te zijn. 

2. De flauwekul verspreiders
Op nummer 2 staan de flauwekul verspreiders. Hij heeft afgelopen 2 jaar het woord ‘flauwekul’ het meest gebruikt op sociale media. Allerlei Twitter-berichten, LinkedIn-berichten die hij leest en waarbij hij zich niet kan inhouden om te zeggen dat wat daarin staat flauwekul is. Zoals dat het gros van de regels in de AVG helemaal niet nieuw is: de eerste dataprotectiewet in Nederland is van 1988, namelijk de Wet Persoonsregistraties en daar stond al bijna hetzelfde in als in de AVG. Dus elke keer als er wordt gezegd dat er een nieuwe wet is en dat je vanaf nu inzage kan vragen, is het flauwekul. Dat inzagerecht is al 30 jaar oud. 

Vanmorgen zette Jeroen het NOS-journaal aan. Van de nieuwslezer van het journaal was bijna iedere zin die zij vanmorgen heeft uitgesproken juridisch onjuist. Inclusief de soundbite die ze hadden gemaakt van Aleid Wolfsen. Hij zal vast een heel goed verhaal hebben gehad daaromheen, maar de soundbite die de redactie van de NOS eruit pikte en liet zien is juridisch onjuist. Zijn broek zakt er van af hoeveel onzin er wordt verspreid over de AVG. Je hoeft helemaal niet overal toestemming voor te vragen, dat staat helemaal niet in de AVG. Sommige dingen zijn wettelijk verplicht, moeten ter uitvoering van een overeenkomst of voor een publieke taak. Zoals Brenno de Winter al zei: de mensen die zeggen “het mag niet van de AVG”, dat zijn de zogenoemde nee-zeggers. En naarmate ze vaker nee zeggen en tegen steeds belangrijkere dingen nee zeggen, gaan andere mensen in de organisatie met een grotere boog om hen heen lopen. Dus je moet ervoor zorgen dat je ‘ja, mits…’ zegt. En dan vervolgens het gesprek aangaat over hoe we dat vervolgens gaan doen. 

3. De ontkenners
De volgenden in het rijtje zijn de directeuren. De gemiddelde directeur die we hebben bij de start van zo’n AVG-workshop bij een AVG-traject. Dan wil Jeroen dat de directeur aan tafel zit en binnen vijf minuten krijgt hij de volgende zin te horen: ‘ik ben de hele dag bezig met risico’s te managen, hoezo is die AVG iets anders’. En dan zijn we vier uur verder en dan is het kwartje hopelijk wel gevallen dat je daar iets mee moet. 

4. De oogklepdragers 
Op de vierde plek staan, met alle respect voor IT’ers, de oogklepdragers. Laten we ophouden met alles een datalek te noemen. Het niet hebben van een verwerkersovereenkomst met de verwerker is geen datalek. Het nadeel van de invoering van het meldpunt datalekken in 2016 is dat de opvatting is ontstaan dat zolang je maar geen datalekken hebt, dat het dan goed is. Wat vervolgens betekende: zolang je maar geen datalek hebt van gegevens die je illegaal verwerkt of die je überhaupt al lang het moeten weggooien. ‘Dat is allemaal niet erg, want we hebben geen datalek’. Dat gedrag zijn we veel tegengekomen in de IT-hoek. 

5. De windowdressers
De ‘windowdressers’. Dat hebben wij met zijn allen 30 jaar lang gedaan, sinds de Wet Persoonsregistraties. Zo hebben we al netjes 30 jaar een privacy statement. Het doorsnee MKB-bedrijf, stichting of vereniging die vraagt om geholpen te worden met de aanpassing van de privacyverklaring en de verwerkersovereenkomsten. Op de opmerking dat ze nog meer verplichtingen hebben vanuit de AVG, zeggen ze dat dat later wel komt. 

6. De visielozen
Heel veel grote organisaties die vragen ‘kun je ons helpen met compliant te worden onder de AVG’. Zodra je daar dan zit, verwachten ze dat je daar je trucje komt doen in zo’n vier maanden en dan weer doorgaat. Op die basis werd Jeroen in 2001 ingehuurd door Philips, om binnen een jaar compliant te worden met de toen net in werking getreden Wet bescherming persoonsgegevens. Hij heeft er 10 jaar gezeten en was toen waarschijnlijk nog niet klaar met het implementeren van de Wbp bij Philips. Je bent namelijk nooit klaar. Het eist dat je als organisatie een visie hebt waar je naartoe gaat. Het eerste wat hij dus deed bij Philips was te kijken naar de visie: ‘hoe willen wij met gegevens omgaan?’ En als je dat aan een gemiddelde directeur vroeg, dan kreeg je 100 verschillende antwoorden, want elke directeur wilde iets anders met zijn eigen departement binnen Philips. Dus je moet intelligent meebewegen met zo’n organisatie, maar je moet ze wel bij de les houden. Waar wil jij naartoe en hoe wil jij daar komen? 

7. De bewust-onbekwamen
Jeroen geeft veel privacy-trainingen en dan vooral de CIPP/E training. En dit is waarschijnlijk wel de nummer 1 vraag: ‘wat is het verschil tussen een verwerker en een verwerkersverantwoordelijke?’ en ‘wanneer moet ik nou een verwerkersovereenkomst met een dienstverlener afsluiten?’ En wanneer hij dat heeft uitgelegd dan gaat er altijd een soort van zucht door de zaal met ‘goh, dan hebben we veel te veel verwerkersovereenkomsten afgesloten’. Er is een enorme kennisachterstand als het gaat om kennis over de AVG. En dan gaan we elkaar met zijn allen in de weg zitten. 

8. De activisten
De mensen die zeggen ‘het moet allemaal anders’, en dat is prima, en de activisten hebben ook hun rol. Maar je moet dan niet opeens allemaal dingen in de AVG gaan lezen die er niet in staan. Persoonsgegevens zijn niet uw eigendom, het staat ook nergens in de AVG dat dat zo is. En u hebt helemaal niet altijd het recht om vergeten te worden. Sterker nog: als een organisatie 100% compliant is met de AVG dan kan een verzoek om verwijderd te worden, altijd worden afgewezen. We zitten alleen nog op 30 jaar achterstallig huiswerk en dus op bergen data die er allang niet meer horen te zijn. Dus dan gaan we ook veel geslaagde verwijderingsverzoeken zien. 

9. De geloofwaardigen
Iedereen die dit vak al een tijdje doet is gegaan van privacy compliance naar data ethics. Je kan dit vak niet doen als je het niet vanuit een morele overtuiging doet. Als je het alleen vanuit compliance doet, dan gaat het hopeloos mis.

10. De evangelisten
Dat zijn de mensen die schreeuwen van de daken hoe het nou eigenlijk moet. De beste evangelist die hij kent op dit gebied is Michelle Dennedy die Chief Privacy Officer is van Cisco. Die weet als geen ander uit te leggen waar dit vak nou eigenlijk over gaat. “Data Privacy is telling a story about a person with integrity and respect.” Het is niet dat je de gegevens niet verwerkt. Als je persoonsgegevens mag hebben, dan moet je ze alleen fatsoenlijk verwerken. Dat staat ook gewoon in de eerste zin van artikel 5 van de AVG. Het allerbelangrijkste artikel van de AVG is artikel 5, niet artikel 6 waar juristen altijd naar gluren. Je kan geen toestemming vragen voor iets wat unfair is. Je kan geen toestemming vragen voor iets wat disproportioneel is. Je kan geen toestemming vragen voor iets dat onrechtmatig is. Artikel 5 is het belangrijkste en dat gaat precies over wat Michelle zegt. “Telling a story about a person with integrity and respect”. Jeroen hoopt dat u dat ook gaat doen, want als u alleen compliance doet dan bent u over tien jaar nog niet klaar met het implementeren van de AVG.

Bekijk de hele presentatie van Jeroen Terstegge (pdf).

Nederlandse Privacy Awards

De middag werd vervolgens afgesloten met de uitreiking van de Nederlandse Privacy Awards. Deze Awards bieden een podium aan bedrijven en overheden die privacy zien als een kans om zich positief te onderscheiden en privacyvriendelijk ondernemen en innoveren tot norm te maken. De winnaars van de Nederlandse Privacy Awards 2019 zijn... Startpage.com en Privacy Company i.s.m. SURF ! Daarnaast ontving PublicSpaces de Aanmoedigingsprijs.

Winnaar: Startpage.com

Met Private Search 2.0 biedt Startpage.com een plaats waar iedereen die profilering en targeting op basis van online zoekopdrachten als verstikkend ervaart, weer wat vrijer kan ademhalen. De belofte van Startpage.com is dat hun gebruikers Google Search kunnen laten bevragen zonder te hoeven vrezen dat elke zoekopdracht wordt toegevoegd aan een permanente dataschaduw bij Google. Bovendien kunnen de zoekresultaten bij Startpage.com via een anonimiserende proxy worden bezocht. Daarmee vervult Startpage.com een behoefte bij iedereen die weleens wil zoeken naar informatie zonder vervolgens geconfronteerd te worden met gerichte advertenties daarover. Denk aan wie zoekt naar informatie over hulp bij een financieel probleem, een relatieprobleem of een gezondheidsprobleem. En natuurlijk aan wie zich überhaupt liever ‘by default’ afschermt van buitenlandse data-handelaren (Silicon Valley cum suis). De nieuwe Startpage.com website biedt mensen daarmee een belangrijke, en bovendien zeer gebruiksvriendelijke mogelijkheid om websites te bekijken zonder zich voortdurend zorgen te hoeven maken over ongewenste profilering en toekomstige confrontatie met hun zoekgedrag.

Winnaar: Privacy Designer (Privacy Company en SURF)

Privacy Designer is een webapp van Privacy Company en SURF voor het MKB, verenigingen en NGO’s, dat hen helpt privacy risico’s te inventariseren. De app is medegefinancierd door het SIDN Fonds en kan vrij van kosten worden gebruikt.

De jury van de Awards was zeer onder de indruk van deze oplossing. Het is handig in gebruik, vernieuwend, en de maatschappelijke impact is groot omdat we uit onderzoek weten dat de doelgroep vaak niet of matig op de hoogte is van de privacy risico’s die zij lopen en hoe daar goed mee om te gaan. Dat alle gegevens bovendien op het eigen toestel worden opgeslagen en er minimaal gebruik wordt gemaakt van persoonsgegevens is een pré. Kortom, deze inzending heeft de potentie om op een zeer laagdrempelige maar effectieve manier de privacy voor een grote groep mensen te verbeteren.

Winnaar: PublicSpaces

Op het internet gebeurt van alles wat we niet zien of merken (vooral reclame op basis van zoekgedrag levert ons veel irritatie op). Ondertussen worden we steeds afhankelijker van navigatie, de cloud-opslag van onze documenten en het zoeken naar informatie. Het lijkt erop dat hiermee vooral een paar dominante commerciële bedrijven er steeds beter van worden. 

PublicSpaces is een coalitie van publieke omroepen en culturele instellingen, die van het internet weer een community van gebruikers willen maken. Zij willen met een aantal belanghebbende partijen het internet gaan repareren door het heel concreet aanbieden van een paar alternatieven. Vooral het overerven van data over verschillende platforms is hen een doorn in het oog. Met open source initiatieven, maar ook de inzet van onze vorige winnaar IRMA willen zij een bijdrage leveren aan de publieke waarde van privacy op het internet. De jury moedigt de missie van PublicSpaces van harte aan!

Klik HIER voor het hele juryrapport (pdf) met deelnamecriteria en toelichting bij alle genomineerden en de winnaars.

De jury van de Nederlandse Privacy Awards 2019 bestond uit onafhankelijke privacy-experts uit diverse sectoren:

• Bart van der Sloot, senior researcher, Universiteit Tilburg (jury-voorzitter)
• Bas Filippini, oprichter en voorzitter Privacy First
• Paul Korremans, data protection & security professional, Comfort Information Architects (tevens bestuurslid Privacy First)
• Marie-José Bonthuis, eigenaar IT’s Privacy
• Esther Janssen, advocaat Informatierecht en grondrechten, bureau Brandeis
• Esther Keymolen, techniekfilosoof, TILT, Universiteit Tilburg
• Matthijs Koot, senior security specialist, Secura BV
• Marc van Lieshout, senior onderzoeker TNO en zakelijk directeur PI.lab
• Wendeline Sjouwerman, privacy specialist lokale overheden en zorg.

Na afloop van het congres kreeg iedere aanwezige een exemplaar van het nieuwe Blauwe Boekje van Jaap-Henk Hoepman over privacy by design mee. Klik HIER voor de digitale versie.

Deze editie van de Nationale Privacy Conferentie & Awards was een groot succes. Dit vraagt om een vervolg en de plannen voor 2020 zijn in de maak!

Vanmiddag vindt in de Tweede Kamer een belangrijk debat plaats over de invoering van Passenger Name Records (PNR): massale, jarenlange opslag van allerlei gegevens van vliegtuigpassagiers ter veronderstelde bestrijding van misdaad en terrorisme. Privacy First heeft hier grote bezwaren tegen en stuurde eind vorige week onderstaande brief naar de Tweede Kamer. Het Kamerdebat vanmiddag stond eerder geagendeerd op 14 mei 2018, maar werd toen (na een vergelijkbare brief van Privacy First) tot nader order geannuleerd. Na een nieuwe schriftelijke vragenronde vindt het debat nu alsnog plaats. Hieronder volgt de volledige tekst van onze actuele brief:

Geachte Kamerleden,

Maandagmiddag 11 maart as. debatteert u met minister Grapperhaus (Justitie en Veiligheid) over de Nederlandse implementatie van de Europese richtlijn inzake Passenger Name Records (PNR). Zowel de Europese PNR-richtlijn als de beoogde Nederlandse implementatiewet zijn in de optiek van Privacy First juridisch onhoudbaar. Hieronder zetten wij dit kort voor u uiteen.

Vakantieregister

In het PNR-wetsvoorstel van de minister zullen talloze gegevens van alle vliegtuigpassagiers met vertrek of aankomst in Nederland 5 jaar lang in een centrale overheidsdatabank bij de nieuwe Passenger Information Unit worden bewaard en gebruikt ter voorkoming, opsporing, onderzoek en vervolging van misdrijven en terrorisme. Gevoelige persoonsgegevens (waaronder naam- en adresgegevens, telefoonnummers, emailadressen, geboortedata, reisdata, ID-documentnummers, bestemmingen, medepassagiers en betaalgegevens) van vele miljoenen passagiers zullen daardoor jarenlang beschikbaar zijn t.b.v. datamining en profiling. In wezen wordt iedere vliegtuigpassagier hierdoor behandeld als potentiële crimineel of terrorist. In 99,99% van de gevallen betreft het echter volstrekt onschuldige burgers, voornamelijk vakantiegangers en zakenreizigers. Dit vormt een flagrante schending van hun recht op privacy en vrijheid van beweging. Vorig jaar heeft Privacy First dit reeds betoogd in de Volkskrant en bij BNR Nieuwsradio. Wegens privacybezwaren bestond er de laatste jaren veel politieke weerstand tegen dergelijke massale PNR-opslag en werd dit sinds 2010 diverse malen verworpen door zowel de Nederlandse Tweede Kamer als het Europees Parlement. In 2015 waren ook de Nederlandse regeringspartijen VVD en PvdA nog mordicus tegen. VVD en PvdA spraken destijds van een "vakantieregister" en dreigden zélf naar het Europees Hof van Justitie te stappen als de Europese PNR-richtlijn zou worden aangenomen. Na de aanslagen in Parijs en Brussel leken veel politieke bezwaren echter als sneeuw voor de zon verdwenen en werd de PNR-richtlijn in 2016 alsnog een feit. Tot op heden is de juridisch vereiste maatschappelijke noodzaak en proportionaliteit van deze richtlijn echter nog steeds niet aangetoond.

Europees Hof

In de zomer van 2017 deed het Europees Hof van Justitie een belangrijke uitspraak over het vergelijkbare PNR-verdrag tussen de EU en Canada. Het Hof verklaarde dit verdrag ongeldig wegens strijd met het recht op privacy. Het Hof stelde hierbij onder meer dat “gegevens van een luchtreiziger na diens vertrek slechts mogen worden bewaard indien op grond van objectieve criteria kan worden aangenomen dat deze luchtreiziger een risico kan vormen in het kader van de strijd tegen terrorisme en ernstige grensoverschrijdende criminaliteit.” (Zie Advies 1/15 (26 juli 2017), par. 207.) Door deze uitspraak staat sindsdien de Europese PNR-richtlijn juridisch op losse schroeven. De Nederlandse regering heeft daarom terechte “zorgen over de toekomstbestendigheid van de PNR-richtlijn” (zie Nota naar aanleiding van verslag, p. 23). Privacy First verwacht dat de huidige PNR-richtlijn binnenkort ter toetsing aan het Europees Hof van Justitie zal worden voorgelegd en onrechtmatig zal worden verklaard. Daarna zal dezelfde situatie ontstaan als enkele jaren geleden bij de Europese telecom-bewaarplicht: zodra deze Europese richtlijn ongeldig is verklaard, zal de Nederlandse implementatiewetgeving in kort geding buiten werking worden gesteld.

Massa surveillance

Het huidige Nederlandse PNR-wetsvoorstel lijkt bij voorbaat onrechtmatig wegens gebrek aan aantoonbare noodzaak, proportionaliteit en subsidiariteit. Het wetsvoorstel komt neer op massa-surveillance van grotendeels onschuldige burgers; reeds in de Tele2-zaak (2016) verklaarde het Europees Hof dit type wetgeving illegaal. Bij de VN Mensenrechtenraad deed Nederland vervolgens de algemene toezegging “to ensure that the collection and maintenance of data for criminal [investigation] purposes does not entail massive surveillance of innocent persons.” Nederland lijkt die belofte nu te verbreken. Bij iedere passagier worden immers talloze volstrekt overbodige data opgeslagen die jarenlang door allerlei Nederlandse, Europese en zelfs niet-Europese overheidsinstanties kunnen worden gebruikt. Bovendien is de effectiviteit van PNR tot op heden nooit aangetoond, aldus ook de minister zelf: “statistische onderbouwing is niet voorhanden” (zie Nota naar aanleiding van verslag, p. 8). Het risico op onterechte verdenkingen en discriminatie (door feilbare algoritmes bij profiling) is bij het voorgestelde PNR-systeem levensgroot, wat tevens de kans op vertragingen en gemiste vluchten bij onschuldige passagiers verhoogt. Tegelijkertijd zullen gezochte personen vaak onder de radar blijven en alternatieve reisroutes kiezen. Verder wordt in het wetsvoorstel met geen woord gerept over de rol en mogelijkheden van geheime diensten, terwijl die onder de nieuwe Wet op de inlichtingen- en veiligheidsdiensten directe, afgeschermde toegang tot de centrale PNR-databank zullen krijgen. Meest kwalijke aspect aan het Nederlandse PNR-wetsvoorstel is echter dat dit twee stappen verder gaat dan de PNR-richtlijn zelf: Nederland kiest er immers zélf voor om ook de data van passagiers op alle intra-EU vluchten op te slaan. Onder de PNR-richtlijn is dit niet verplicht, en had Nederland dit bovendien kunnen beperken tot louter vooraf geselecteerde (risico)vluchten. Dit zou in lijn geweest zijn met het advies van de meeste experts op dit terrein: targeted i.p.v. mass surveillance, zo gericht mogelijk, oftewel louter gericht op die personen waarop een redelijke verdenking rust, conform de principes van onze democratische rechtsstaat.

Advies Privacy First

Privacy First adviseert u hierbij met klem om het huidige wetsvoorstel te verwerpen en dit desgewenst te vervangen door een privacyvriendelijke versie. Mocht dit ertoe leiden dat Nederland door de Europese Commissie voor het EU Hof van Justitie zal worden gedaagd wegens gebrek aan implementatie van de huidige Europese PNR-richtlijn, dan verwacht Privacy First dat Nederland deze zaak glansrijk zal winnen. Van EU-lidstaten mag immers niet worden verwacht dat zij privacyschendende EU-regels implementeren. Dit geldt eveneens voor de nationale implementatie van relevante resoluties van de VN Veiligheidsraad (in casu UNSC Res. 2396 (2017)) die op gespannen voet staan met internationale mensenrechten. Privacy First heeft in dit verband reeds gewaarschuwd voor misbruik van het Nederlandse (ook voor PNR gebruikte) TRIP-systeem door andere VN-lidstaten. Nederland heeft hierin een eigen grondwettelijke en internationaalrechtelijke verantwoordelijkheid.

Voor nadere informatie of vragen met betrekking tot bovenstaande is Privacy First te allen tijde bereikbaar op telefoonnummer 020-8100279 of per email: Dit e-mailadres wordt beveiligd tegen spambots. JavaScript dient ingeschakeld te zijn om het te bekijken..

Hoogachtend,

Stichting Privacy First

Update 19 maart 2019: vandaag heeft de Tweede Kamer het wetsvoorstel helaas vrijwel ongewijzigd aangenomen; slechts GroenLinks, SP, PvdD en Denk stemden tegen. Een principiële motie van GroenLinks en SP om een rechtszaak van de Europese Commissie tegen de Nederlandse regering over de Europese PNR-richtlijn uit te lokken werd helaas verworpen. Enig lichtpuntje is de breed aangenomen motie ter juridische herbeoordeling en mogelijke herziening van de PNR-richtlijn op Europees politiek niveau. (Slechts PVV en FvD stemden tegen deze motie.) Volgende halte: Eerste Kamer.

Update 4 juni 2019: ondanks recente herhaling van bovenstaande brief en overige kritische input van Privacy First heeft de Eerste Kamer het wetsvoorstel vandaag helaas aangenomen. Slechts GroenLinks, Partij voor de Dieren en SP stemden tegen. Dit ook ondanks de onlangs in Duitsland (bij het vergelijkbare Duitse PNR-systeem) gebleken enorme foutenpercentages (“false positives”) van maar liefst 99,7%, zie https://www.sueddeutsche.de/digital/fluggastdaten-bka-falschtreffer-1.4419760. In Duitsland en Oostenrijk zijn inmiddels grootschalige rechtszaken gestart om de Europese PNR-richtlijn door het Europees Hof van Justitie onrechtmatig te laten verklaren wegens strijd met het recht op privacy, zie de Duits-Engelse campagnewebsite https://nopnr.eu en https://www.nrc.nl/nieuws/2019/05/15/burgers-in-verzet-tegen-opslaan-passagiersgegevens-a3960431. Zodra het Europees Hof de PNR-richtlijn in deze zaken onrechtmatig verklaart, zal Privacy First de Nederlandse PNR-wet in kort geding buiten werking laten stellen. Tevens heeft Privacy First gisteren Nederlandse PNR-wet geagendeerd bij het VN Mensenrechtencomité in Genève. Op 1-2 juli as. zal de algehele Nederlandse mensenrechtensituatie (inclusief Nederlandse schendingen van het recht op privacy) door dit Comité kritisch onder de loep genomen worden.

Privacy bekeken vanuit een juridisch, psychologisch, technologisch, economisch en ethisch perspectief

Vanaf 23 mei tot en met 11 juli 2019 vindt bij de Universiteit van Amsterdam een speciale Masterclass plaats over privacy, genaamd The Next Step. De Masterclass is geschikt voor privacy professionals zoals privacy officers, functionarissen gegevensbescherming, cybersecurity specialisten, marketeers, advocaten, juristen, beleidsmedewerkers, managers en adviseurs die te maken hebben met juridische, economische, ethische, technische en organisatorische vraagstukken en verandertrajecten met betrekking tot privacy en de verwerking, opslag en gebruik van persoonsgegevens.

In zeven modules worden talrijke privacyonderwerpen onderwezen door diverse vakdocenten. In week 7 zal Privacy First meedoen aan het Lagerhuisdebat.

De Masterclass zal onder andere ingaan op:

• Wat is privacy?
• Wat zijn de achtergronden en veranderingen in wet- en regelgeving op het gebied van privacy en welke impact hebben deze op mensen, overheid en organisaties?
• Consumenten en persoonsgegevens;
• Technische ontwikkelingen;
• Impact van digitale technologie op de privacy van individuen;
• Ethisch perspectief op privacy en persoonsgegevens;
• Hoe kunnen consumenten hun privacy (beter) beschermen;
• Privacy binnen een organisatie, met aandacht voor cultuur, beleid, programmering en monitoring;
• Sectorspecifieke verschillen, uitdagingen en oplossingen onder meer in de zorg, bij de overheid en in de financiële sector;
• Werken aan praktijkcasussen en vraagstukken die spelen bij deelnemers en hun organisaties.

 
Klik HIER voor meer informatie en om u aan te melden.

PSD2 in Nederland van kracht

Sinds deze week is PSD2 in Nederland van kracht: de nieuwe Europese bankenwet die onder meer mogelijk maakt dat bankgegevens ook door andere partijen verwerkt mogen worden. Dit brengt grote privacy-risico's met zich mee. Op 7 januari jl. was Privacy First daarom tafelgast bij het televisieprogramma Radar en zagen bijna 1,3 miljoen kijkers dat Privacy First een serieuze speler is in het debat over PSD2 en privacy. Hoeveel informatie zit verstopt in tien jaar rekeninginformatie denkt u? Inkomsten, uitgaven, lidmaatschappen, donaties, locaties? En welk profiel maakt een kredietbeoordelaar als die kijkt naar roodstand, relaties en onlineaankopen? Bij hoeveel partijen komen al die gegevens straks te liggen?

Uitdrukkelijke toestemming vraagt té veel van consument

De dataoverdracht van bank naar een andere financiële dienstverlener (fintech) mag alleen gebeuren met uw uitdrukkelijke toestemming en binnen de kaders van de wet, maar het is niet voor niets dat Privacy First aan dit dossier werkt!

Samen met de Volksbank, Betaalvereniging Nederland en andere partijen zetten we ons al een tijd in voor betere informatie en transparantie. De stem van bedrijven wordt gehoord, die van consumenten en kritische privacydenkers nauwelijks. Uit onderzoek van De Nederlandse Bank (DNB) blijkt dat 94 procent van de consumenten nog niet van PSD2 heeft gehoord en over het algemeen terughoudend is om een derde partij toegang tot zijn of haar rekening te geven. En dat terwijl de eerste licentieaanvragen van rekeninginformatie-dienstaanbieders al bij DNB liggen...

Neem deel aan ons PSD2 Privacy Panel 

Privacy First zet zich in voor eigen keuzes in een vrije omgeving. Daarom nodigen we u uit om deel te nemen aan ons nieuwe PSD2 Privacy Panel. We willen panelleden de komende tijd informeren en vragen om mee te denken over privacy-risico's. Doet u mee? Als u zich inschrijft kunt u een waardevolle bijdrage leveren aan diverse onderwerpen op het gebied van PSD2 en privacy. Bovendien: uw medewerking versterkt de boodschap van Privacy First!

U kunt zich via deze link opgeven voor het PSD2 Privacy Panel. U ontvangt een welkomstmail en hierna enkele informatieve mails over PSD2 en privacy-risico's. Vervolgens vragen we uw mening in een aantal enquêtes. Later dit jaar organiseren we een bijeenkomst over dit uiterst relevante thema.

We willen uw mening, niet uw privacy.

We hechten veel waarde aan uw privacy. Daarom hebben we een aantal maatregelen getroffen zodat u zo anoniem mogelijk kunt deelnemen. Bij voorkeur schrijft u zich in met een e-mailadres zonder herleidbare naam, organisatie of bedrijf erin. De mailings worden uitgevoerd met LaPosta, een Nederlands bedrijf dat al jaren serieus werk maakt van privacy en informatiebeveiliging. We hebben de omgeving zo ingesteld dat we uw gedrag niet kunnen volgen. En natuurlijk kunt u zich ieder moment uitschrijven.

Doet u mee?

Privacy First zet zich in voor de bescherming van privacy. Rondom PSD2 kunnen nog belangrijke verbeteringen gemaakt worden. U kunt op een eenvoudige manier bijdragen. Bovendien wordt u geïnformeerd over deze belangrijke wet, waarmee betalingsverkeer ingrijpend kan veranderen. Word daarom lid van het PSD2 Privacy Panel.

Alvast bedankt!

Hof Amsterdam wijst nieuwe zaak tegen kentekenparkeren desondanks af. Privacy First bezint zich op vervolgstappen.

In het hoger beroep van de voorzitter van Privacy First tegen kentekenparkeren heeft het Hof Amsterdam het helaas niet aangedurfd om kentekenparkeren en het gebrek aan contante (anonieme) betaalmogelijkheid onrechtmatig te verklaren, zo bleek eind vorige week (pdf). Weliswaar onderkent het Hof expliciet “het belang van handhaving van de mogelijkheid om contant te betalen” en verwijst het Hof daarbij ook naar instanties zoals de Nederlandsche Bank (DNB) die dit belang eveneens onderschrijven. Tegelijkertijd stelt het Hof echter dat de huidige wetgeving de (gemeentelijke) overheid niet zou verplichten om contante of anonieme betaling van parkeerbelasting mogelijk te maken. Het Hof verwijst hierbij o.a. naar een verouderde uitspraak van de Hoge Raad uit 2005 en naar oude, summiere Europese wetgeving. Het Hof Amsterdam oordeelt tevens dat het verouderde (nationale) Besluit gemeentelijke parkeerbelastingen (2001) geen recht op een anoniem betaalmiddel impliceert. Niettemin suggereert het Hof dat anonieme betaling mogelijk zou zijn middels een ongeregistreerde prepaid creditcard. Privacy First acht dit oordeel (inclusief laatstgenoemde suggestie) van het Hof Amsterdam onjuist en overweegt juridische vervolgstappen richting zowel de Hoge Raad als het Europees Hof van Justitie. Privacy First voelt zich hierbij gesterkt door de actuele maatschappelijke discussie en recente politieke oproepen om contant geld te handhaven en contante betalingsmogelijkheden te verbeteren, met name ook bij lokale overheden. Onlangs nam de Tweede Kamer hier unaniem een motie over aan. Verdere parlementaire moties en mogelijke wetswijzigingen ter behoud en versterking van contant geld liggen in het verschiet.

Gebrekkig oordeel Hof Amsterdam over rechtmatigheid van kentekenparkeren

Over de rechtmatigheid van (het systeem van) kentekenparkeren oordeelt het Hof Amsterdam niet eenduidig: eerst oordeelt het Hof dat kentekenparkeren als zodanig een “niet-verboden inmenging” in het recht op privacy vormt, waarmee het Hof dus enerzijds erkent dat sprake is van een inmenging (inbreuk), maar dat deze niet verboden zou zijn. Vervolgens overweegt het Hof echter dat überhaupt geen sprake zou zijn van een inmenging, om vervolgens alsnog “hypothetisch” te oordelen dat de betreffende inmenging gerechtvaardigd zou zijn en dus geen schending (ongerechtvaardigde inbreuk) op het recht op privacy zou vormen. Privacy First acht deze argumentatie onbegrijpelijk en vooral ook onjuist. Het Hof toetst bovendien nauwelijks (en foutief) aan noodzaak, proportionaliteit en subsidiariteit, terwijl deze hele zaak daar nu juist om draait. Daarnaast laat het Hof talloze ingebrachte bezwaren tegen kentekenparkeren onbenoemd, waaronder het gebrek aan een specifieke, met privacywaarborgen omgeven rechtsbasis voor kentekenparkeren in nationale wetgeving, het feit dat parkeerdata voor andere doelen wordt gebruikt en kan worden misbruikt (function creep), het feit dat "efficiency" geen juridische rechtvaardiging kan vormen voor inperking van het recht op privacy, etc.

Invoering van kenteken bij parkeren blijft vrijwillig

In deze zaak staat een aantal nieuwe principiële rechtsvragen rond kentekenparkeren en het recht op contante betaling centraal. Door de huidige uitspraak van het Hof Amsterdam blijven dan ook de eerdere (door de Hoge Raad bevestigde) uitspraken dat invoering van het kenteken bij parkeren niet verplicht is, onaangetast. Kentekenparkeren is en blijft daarmee dus vrijwillig: een eventuele parkeerboete bij niet-invoering van een kenteken dient in bezwaar en beroep te worden vernietigd, mits de parkeerder kan aantonen dat voor het parkeren betaald is.

Recht op anonimiteit in openbare ruimte

Privacy First voert deze zaak ter behoud en versterking van het recht op anonimiteit in de openbare ruimte. Dit recht staat de laatste jaren in toenemende mate onder druk en dreigt inmiddels illusoir te worden. Indien nodig zal Privacy First deze zaak daarom voortzetten tot aan het Europees Hof voor de Rechten van de Mens in Straatsburg.

Lees HIER de hele uitspraak van het Hof Amsterdam d.d. 5 februari jl. in geanonimiseerde pdf (op 8 februari jl. door Privacy First ontvangen).

Update 3 maart 2019: de uitspraak van het Hof is inmiddels ook gepubliceerd op rechtspraak.nl. Privacy First beraadt zich nog op mogelijke vervolgstappen.

Update 2 mei 2019: vandaag heeft de voorzitter van Privacy First beroep in cassatie ingesteld bij de Hoge Raad.

Update 22 september 2019: vandaag besteedden het NOS Journaal en Nieuwsuur uitgebreid aandacht aan het toenemende gebruik (en misbruik) van scanauto's, zie https://nos.nl/nieuwsuur/artikel/2302813-opsporingsdiensten-ontdekken-nieuw-wapen-de-scanauto.html.

Update 10 april 2020: vandaag heeft de Hoge Raad uitspraak gedaan. De Hoge Raad oordeelt dat kentekenparkeren een systematische inbreuk vormt op het recht op privacy. Volgens de Hoge Raad wordt dit echter gerechtvaardigd doordat sprake zou zijn van een wettelijke basis, namelijk een lokale parkeerverordening van de gemeente Amsterdam. Die wettelijke basis bevat echter geen enkele privacywaarborg zoals vereist door het Europese Mensenrechtenverdrag (art. 8 EVRM). Privacy First verwacht deze zaak daarom alsnog te zullen winnen bij het Europees Hof voor de Rechten van de Mens in Straatsburg.

Hoge Raad zwijgt over recht op anonieme, contante betaling

In de uitspraak vandaag weigert de Hoge Raad grotendeels om de zaak inhoudelijk te behandelen. De Hoge Raad draait op diverse punten om de hete brij heen. Allereerst wil de Hoge Raad geen uitspraak doen over het eerste fundamentele aspect dat in deze zaak centraal stond: het recht op anonieme of contante betaling bij parkeren. Dit recht vloeit o.a. voort uit het recht op privacy in de zin van anonimiteit in de openbare ruimte. De Hoge Raad beargumenteert niet waarom het hierover geen uitspraak wil doen en verwijst slechts naar art. 81 van de Wet op de rechterlijke organisatie: verondersteld gebrek aan belang voor de rechtseenheid of de rechtsontwikkeling. Dit oordeel is onbegrijpelijk, aangezien dit nu juist een uiterst actuele kwestie betreft waarover veel rechtsonzekerheid bestaat.

Hoge Raad acht kentekenparkeren systematische inbreuk op privacy, maar weigert inhoudelijke toetsing

In lijn met het betoog van Privacy First oordeelt de Hoge Raad dat kentekenparkeren een systematische inbreuk vormt op het recht op privacy. Onder art. 10 Grondwet en art. 8 EVRM vereist dit een wettelijke basis. Volgens de Hoge Raad is een lokale parkeerverordening zonder wettelijke privacywaarborgen daartoe voldoende. Het gebrek aan wettelijke privacywaarborgen bij kentekenparkeren wordt door de Hoge Raad echter geheel niet getoetst. Ook op dit fundamentele aspect draait de Hoge Raad dus om de hete brij heen. Privacy First acht dit oordeel in strijd met het Europese privacyrecht en verwacht dit met succes te zullen aanvechten bij het Hof in Straatsburg.

Hoge Raad laat misbruik van scanauto’s onbenoemd

Een ander fundamenteel aspect waarover de Hoge Raad zich niet wil uitlaten betreft het misbruiken van scanauto’s bij kentekenparkeren voor andere doelen, waaronder de opsporing van verwarde personen, zwerfvuil en monumentenzorg. Dergelijke function creep (doelverschuiving) is in strijd met het recht op privacy en juist nu hoogst actueel, getuige bijvoorbeeld de berichtgeving vandaag over de nieuwe inzet van camera-auto’s in de Coronacrisis. Privacy First betreurt het dat de Hoge Raad over dergelijke buitenwettelijke inzet van scanauto’s liever zwijgt dan rechtspreekt.

Lees HIER de volledige uitspraak van de Hoge Raad op rechtspraak.nl.

Update 28 april 2021: het Europees Hof voor de Rechten van de Mens (EHRM) in Straatsburg heeft de meervoudige klacht van Privacy First tegen bovenstaande uitspraak van de Hoge Raad helaas vrijwel onbeargumenteerd niet-ontvankelijk verklaard. Hetzelfde gebeurde de afgelopen jaren o.a. met twee rechtszaken van Privacy First tegen ongereguleerde trajectcontroles en een door Privacy First gesteunde zaak van VP Huisartsen tegen het Landelijk Schakelpunt (EPD). Door Privacy First gesteunde zaken tegen verplichte vingerafdrukken in paspoorten en identiteitskaarten liggen reeds sinds 2016 onbehandeld op de Straatsburgse plank. Hetzelfde geldt sinds 2018 voor de coalitiezaak 'Burgers tegen Plasterk' over internationale data-uitwisseling tussen geheime diensten. In combinatie met recente teleurstellende, onkritische uitspraken van het EHRM over massa-surveillance en verplichte vaccinaties doet dit bij Privacy First inmiddels de vraag rijzen: zou de Nederlandse burger niet veel beter af zijn bij een nationaal Grondwettelijk Hof?

De uitzending van De Wereld Draait Door van 28 januari jl. waarbij theatergroep de Verleiders aan tafel zat, zorgde voor een (hevige) discussie. In het aankaarten van de huidige thema’s die spelen is er door de theatergroep een creatieve vrijheid genomen. Privacy First is blij dat door deze opschudding het thema privacy weer op de agenda staat. In het gesprek werden een aantal prangende kwesties aangesneden die heden ten dage spelen en hoog op de agenda van Privacy First staan. Hieronder een kleine opsomming:

SyRI – Systeem Risico Indicatie

Het Systeem Risico Indicatie (SyRI) koppelt op grote schaal persoonsgegevens van onverdachte burgers uit databanken van overheden en bedrijven. Een geheim algoritme voorspelt vervolgens of zij een risico vormen om één van de vele wetten die het systeem beslaat te overtreden. Leidt de analyse van SyRI tot een risicomelding, dan wordt een burger opgenomen in het zogeheten Register Risicomeldingen, dat inzichtelijk is voor een groot aantal overheidsinstanties.

SyRI is een ‘black box’ die grote risico’s bevat voor de democratische rechtsstaat. Het is voor een burger die zonder enige aanleiding door SyRI kan worden doorgelicht, volstrekt onduidelijk welke gegevens daarvoor worden gebruikt, welke analyses daarmee worden uitgevoerd en wat hem of haar al dan niet tot risico maakt. Bovendien is de burger door de heimelijke werking van SyRI ook niet in staat om een onjuiste risicomelding te weerleggen. Over SyRI is de Staat gedagvaard door een grote coalitie die bestaat uit de Stichting Platform Bescherming Burgerrechten, het Nederlands Juristen Comité voor de Mensenrechten (NJCM), Stichting Privacy First, Stichting KDVP, de Landelijke Cliëntenraad (LCR) en FNV. Auteurs Tommy Wieringa en Maxim Februari hebben zich op persoonlijke titel als eisers bij de zaak aangesloten.

ANPR – Automatic Number Plate Recognition

Sinds 1 januari jl. is de Wet vastleggen en bewaren kentekens door politie (wet ANPR) in werking. Hierbij maakt de politie gebruik, op honderden locaties, van zogenoemde ANPR-camera’s. Door deze wet kunnen de kentekens van alle auto's in Nederland (oftewel ieders reisbewegingen) door middel van cameratoezicht vier weken in een centrale politiedatabank worden opgeslagen voor opsporing en vervolging. Iedere automobilist wordt hierdoor een potentiële verdachte. Dit is totaal niet noodzakelijk, volstrekt disproportioneel en bovendien ineffectief. Deze wet is daarom in strijd met het recht op privacy en daarmee onrechtmatig.

Privacy First is in voorbereiding om de Staat te dagvaarden en deze wet door de rechter onrechtmatig te laten verklaren.

Onschuldpresumptie

Privacy First constateert dat in rap tempo wetgeving wordt geproduceerd die de democratische rechtsstaat aantast en die overheden, politie en geheime diensten steeds grotere bevoegdheden geeft. Waarbij steeds meer gegevens worden opgeslagen "voor het geval dat", in plaats van dat er een redelijke verdenking op een persoon is. De onschuldpresumptie is een rechtsbeginsel waar flink aan wordt getornd en dat bescherming behoeft.

Contant geld

Privacy First pleit al jaren voor de bescherming van contant geld; dit is immers het enige betaalmiddel dat anoniem is. Wij zien dat in steeds grotere mate contante betalingen niet meer worden geaccepteerd. In verschillende rechtszaken (zoals over kentekenparkeren) heeft Privacy First gepleit voor het behoud van contante betaalmogelijkheden.

PSD2 – Payment Service Directive 2

Vanaf begin 2019 wordt in Nederland PSD2 van kracht (Payment Service Directive 2). Met deze nieuwe Europese bankenwet kunnen consumenten hun bankgegevens delen met andere partijen dan hun eigen bank. Hiervoor moet de consument eerst uitdrukkelijke toestemming geven. Hierna moet de bank alle transactiedata van de consument (rekeninghouder) met een externe partij (financiële dienstverlener) delen voor een periode van 90 dagen, waarna de consument zijn toestemming kan vernieuwen. Tevens kan de consument zijn toestemming op ieder moment intrekken.

PSD2-keurmerk voor transparantie

Privacy First wil dat consumenten eerlijk en transparant geïnformeerd worden over wat er met hun gegevens gebeurt. In plaats van lange privacy-statements pleit Privacy First voor onafhankelijke informatie op één A4, waarbij door consumenten vastgestelde informatie wordt geboden. Consumenten kunnen immers zelf het beste bepalen welke informatie zij waardevol vinden bij het maken van een keuze. Gedurende 2018 werkte Privacy First aan dit initiatief samen met de Volksbank en andere partners uit de financiële sector.

PSD2-me-niet-register

Privacy First is verbaasd dat er geen aandacht is geweest voor de rol van “bijzondere persoonsgegevens” in transactiedata. Deze gegevens mogen alleen onder strikte voorwaarden gedeeld worden en moeten dus gefilterd kunnen worden. Ook consumenten die niet willen dat hun gegevens door anderen worden gedeeld met financiële dienstverleners moeten de mogelijkheid krijgen dit te voorkomen. Daarom wil Privacy First een opt-out register voor PSD2, vergelijkbaar met het bel-me-niet-register.