Nederlandse bevolking verwerpt nieuwe Wet op de inlichtingen- en veiligheidsdiensten. Deze wet dient nu te worden aangepast. Zo niet, dan volgt een rechtszaak.

Historische streep in het zand

Woensdag 21 maart 2018 is een historische dag: voor het eerst in de geschiedenis heeft een nationale bevolking zich bij referendum tegen een wet op de geheime diensten uitgesproken. Bij dit referendum mocht de Nederlandse bevolking stemmen over de nieuwe Wet op de inlichtingen- en veiligheidsdiensten, de zogeheten Sleepwet. Inmiddels is bekend dat een overduidelijke meerderheid TEGEN deze wet is. Privacy First beschouwt dit als een historische overwinning en hoopt dat dit tot een sneeuwbal-effect in andere landen zal gaan leiden, tégen de ontwikkeling richting controle-maatschappijen, tégen massa surveillance en vóór betere wetgeving die de vrijheid van onschuldige burgers wél respecteert.

Bezwaren tegen de Sleepwet

De voornaamste bezwaren van Privacy First tegen de Sleepwet richten zich tegen de nieuwe mogelijkheden die de wet biedt om het internetverkeer en de communicatie van onschuldige burgers massaal te kunnen aftappen, deze data jarenlang te kunnen opslaan en zelfs ongezien te kunnen uitwisselen met buitenlandse geheime diensten. Deze en andere bezwaren van Privacy First staan HIER alfabetisch gerangschikt. De vrijheidsbeperkende Sleepwet staat bovendien niet op zichzelf maar is onderdeel van een bredere negatieve tendens, zo is te lezen in deze recente column van Privacy First voorzitter Bas Filippini.

Succesvol referendum

Vanaf het allereerste moment heeft Privacy First de totstandkoming van het referendum tegen de Sleepwet gesteund. Naast Privacy First waren de afgelopen maanden ook talloze andere maatschappelijke organisaties volop actief om de bevolking kritisch over de Sleepwet te informeren. Het meeste werk is echter verricht door de initiatiefnemers achter het referendum zelf: de UvA-studenten die eind 2017 voldoende handtekeningen verzamelden om dit referendum mogelijk te maken. Voor deze unieke prestatie reikte Privacy First begin dit jaar een Nederlandse Privacy Award aan hen uit. Ook heeft Privacy First recentelijk alle lokale politieke partijen in heel Nederland opgeroepen om stelling tegen de Sleepwet te nemen. Wij zijn daarnaast zoveel mogelijk actief geweest om kritische massa te genereren middels interviews op de radio, televisie, kranten, deelname aan publieksdebatten, eigen advertenties en social media. Tevens organiseerde Privacy First in Amsterdam een kritisch publieksdebat over de Sleepwet met diverse prominente sprekers, waaronder onze advocaat Otto Volgenant en Nationaal Coördinator Terrorismebestrijding en Veiligheid Dick Schoof. Dit debat is meerdere malen uitgezonden door NPO Politiek en staat ook online op onze website en YouTube. Zelfs volgens voorstanders van de Sleepwet werd dit referendum gekenmerkt door goede inhoudelijke discussies en een scherp geïnformeerd, kritisch publiek. Ook in die zin is dit referendum een groot succes, een feest voor de democratie en voor het Nederlandse privacybewustzijn. Van afschaffing van het referendum mag na vandaag dan ook geen sprake meer zijn.

Wet dient te worden verbeterd. Zo niet: rechtszaak.

De consequentie van het referendum over de Sleepwet is helder: deze wet dient direct te worden aangepast en verbeterd. Zo niet, dan volgt een grootschalige rechtszaak van Privacy First en diverse mede-eisers (organisaties) om de wet op meerdere onderdelen onrechtmatig te laten verklaren en door de rechter buiten werking te laten stellen. Privacy First en coalitiegenoten deden dit eerder met succes bij de buitenwerkingstelling van de Wet telecom-bewaarplicht in 2015. Een vergelijkbare rechtszaak tegen de Sleepwet heeft Privacy First de laatste jaren herhaaldelijk bij zowel het kabinet als de Eerste en Tweede Kamer in het vooruitzicht gesteld. De uitslag van het huidige referendum vormt daarbij een enorme steun in de rug. De dagvaarding tegen de Sleepwet is inmiddels klaar en onze advocaten staan in de startblokken. De keuze is nu dus aan het kabinet: koers wijzigen of bakzeil halen!

Hieronder treft u de voornaamste bezwaren van Privacy First aan tegen de nieuwe Wet op de inlichtingen en veiligheidsdiensten (Wiv2017 of 'Sleepwet'), in alfabetische volgorde:

A. Aftappen 
Door de bevoegdheid van 'onderzoeksopdrachtgerichte interceptie' - in de volksmond ook wel sleepnet genoemd - wordt het mogelijk voor de inlichtingen- en veiligheidsdiensten (geheime diensten) om het internetverkeer van grote groepen mensen tegelijk af te tappen. Zo kan er een tap worden geplaatst op een bepaalde gemeente, een wijk, buurt of straat, indien daar een ‘target’ van de geheime dienst woont. Daarbij wordt de communicatie van onschuldige burgers verzameld door middel van een digitaal sleepnet. Privacy First is van mening dat de gegevens van onschuldige burgers niet thuis horen bij de inlichtingendiensten. Bovendien neemt de effectiviteit van de inlichtingendiensten af door de te grote hoeveelheid aan vergaarde data.

B. Buitenland
Gegevens die vergaard zijn met het sleepnet mogen onder de nieuwe Wet op de inlichtingen- en veiligheidsdiensten (Sleepwet) ongeëvalueerd met het buitenland gedeeld worden. Dit betekent dat de Nederlandse inlichtingendiensten ongeziene en ongeselecteerde gegevens (van onschuldige burgers) met buitenlandse geheime diensten kunnen delen. Op het gebruik van deze gegevens is vervolgens geen toezicht meer te houden door de Nederlandse diensten.

Bewaartermijnen
Ongeëvalueerde gegevens die door middel van het sleepnet zijn verzameld, mogen drie jaar worden bewaard. Deze ongeëvalueerde gegevens mogen ook ongezien met het buitenland worden gedeeld. Gegevens die de inlichtingen- en veiligheidsdiensten relevant hebben bevonden, mogen bewaard worden zolang deze nog relevant zijn.

C. CTIVD
Het oordeel van de onafhankelijke toezichthouder CTIVD (Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten) die achteraf toetst of de bevoegdheden rechtmatig zijn ingezet, is niet bindend. De minister kan de bevindingen en aanbevelingen naast zich neer leggen en eventueel doorgaan met het onrechtmatig inzetten van bevoegdheden.

Chilling effect
De nieuwe wet kan er voor zorgen dat mensen zich (onbewust) anders gaan gedragen dan ze zich zouden gedragen in een vrije omgeving. Dit kan een negatief effect hebben op de uitoefening van andere grondrechten dan het recht op privacy, zoals de vrijheid van meningsuiting of de vrijheid van vereniging, vergadering en demonstratie.

D. Databanken
De nieuwe wet maakt directe, automatische toegang tot databanken in de gehele private én publieke sector mogelijk. Hiermee kunnen de inlichtingendiensten rechtstreeks toegang krijgen tot allerlei gevoelige databanken bij bedrijven, overheidsinstanties en andere organisaties, hetzij middels informanten of agenten (infiltranten) bij die organisaties, hetzij middels geheime overeenkomsten.  

Decryptiebevel
Door de nieuwe wet dienen versleutelde data bij bedrijven, overheden of particulieren (bijvoorbeeld communicatiedata) op verzoek van de geheime dienst ontsleuteld te worden. Weigering om aan een decryptiebevel te voldoen wordt bestraft met 2 jaar hechtenis.

DNA-databank
Met de invoering van de wet krijgen de inlichtingen- en veiligheidsdiensten een eigen DNA-databank. Ze mogen het DNA verzamelen van zogenoemde ‘targets’ (doelwitten) en ‘non-targets’ (onschuldige burgers). Om dit DNA te verzamelen mag de inlichtingen- en veiligheidsdienst zich o.a. toegang verschaffen tot een besloten plaats, bijvoorbeeld een kantoor of woning. De Groene Amsterdammer heeft een zeer uitgebreid stuk geschreven over de “DNA Verzameldienst”, dit is hier te lezen.

E. Europees Verdrag voor de Rechten van de Mens (EVRM)
Het recht op privacy is een mensenrecht: dit recht wordt beschermd door artikel 8 van het EVRM. Privacy First is van mening dat de nieuwe Sleepwet het recht op privacy schendt. Privacy First heeft dan ook een (concept)dagvaarding klaarliggen om de Staat voor de rechter te slepen zodra de Sleepwet in werking treedt. De rechter kan de Sleepwet dan toetsen en (deels) buiten werking stellen wegens schending van art. 8 EVRM.

F. Fake news door Nederlandse overheid
Volgens onze minister van Binnenlandse Zaken Ollongren is het niet noodzakelijk dat de overheid op haar website rijksoverheid.nl neutrale informatie plaatst over het Sleepwet-referendum. Hierdoor wordt er door de overheid geen objectieve informatie verstrekt aan de kiezers.

G. Geautomatiseerde werken
Zoals onder ‘hackbevoegdheid’ en “Internet of Things’ uitgelegd, zullen door de Sleepwet alle apparaten gehackt mogen worden door de geheime diensten.

H. Hackbevoegdheid
Onder de nieuwe wet krijgen de inlichtingendiensten de mogelijkheid om een target te hacken via onschuldige derden. Dit houdt in dat de inlichtingendienst door het hacken van een derde (tante, zus, vriend, vriendin, echtgenoot, opa, collega, buurman, werk, overheid, bedrijf etc.) toegang krijgt tot informatie over het doelwit van de dienst. Dit betekent dat de apparaten van onschuldige burgers gehackt kunnen worden door de diensten. Deze burgers zullen hiervan nooit op de hoogte raken (er geldt hiervoor geen notificatieplicht).

I. Ik heb niks te verbergen
Iedereen heeft recht op een privéleven. De gegevens van onschuldige burgers horen daarom niet thuis bij de inlichtingen- en veiligheidsdiensten. Deze gegevens met onder andere medische informatie, persoonlijke gesprekken, privé emails, zakelijke emails, nieuwsberichten, hobbies, interesses en internet-zoekresultaten dienen daarom goed te worden beschermd. Daarnaast heeft u misschien ‘niets’ te verbergen, maar andere burgers zoals medische professionals, advocaten, activisten, klokkenluiders en journalisten wel.

Internet of Things
Steeds meer apparaten zijn op het internet aangesloten. Al deze apparaten kunnen onder de Sleepwet afgeluisterd of gehackt worden. Te denken valt aan een auto, camera, microfoon, printer maar eventueel ook zelfs een pacemaker. De Sleepwet sluit deze mogelijkheid immers niet uit.

J. Journalisten
De communicatie van journalisten kan met de nieuwe wet worden onderschept, door onder andere de inzet van het sleepnet. De geheime diensten kunnen dan van deze informatie kennis nemen. Dit vormt een bedreiging voor de persvrijheid en het journalistieke brongeheim. Pas achteraf zullen de diensten de informatie die niet noodzakelijk is voor het onderzoek zo snel mogelijk verwijderen.

K. Kabelgebonden interceptie
Onterecht wordt er gespeculeerd dat de inlichtingen- en veiligheidsdiensten momenteel niet op de kabel mogen aftappen en enkel via de ether. De inlichtingen- en veiligheidsdiensten mogen onder de huidige wet een tap plaatsen op de kabel, wanneer dit gericht is op bijvoorbeeld één individu. Met de nieuwe wet krijgen de inlichtingen- en veiligheidsdiensten de bevoegdheid om ongericht en grootschalig de kabel af te tappen (sleepnet).

L. Lubach
Arjen Lubach heeft in zijn uitzendingen van Zondag met Lubach drie items gemaakt over de Sleepwet en waarom het goed is om hier kritisch op te zijn. De filmpjes zijn hier te bekijken: Sleepwet 1, Sleepwet 2 en Sleepwet 3.

M. Mensenrechten
Privacy is een mensenrecht. Dit recht op bescherming van de persoonlijke levenssfeer geldt voor iedereen en wordt door talloze internationale en Europese verdragen gewaarborgd. Door de Sleepwet wordt dit recht massaal geschonden, aangezien de data van grote groepen onschuldige burgers door deze wet zullen worden verzameld, opgeslagen en internationaal uitgewisseld.    

Medisch beroepsgeheim
Door de nieuwe wet kan de medische privacy van patiënten en het medisch beroepsgeheim van artsen niet gegarandeerd worden: de geheime diensten mogen bij iedereen, ook bij artsen en ziekenhuizen, relevante gegevens opvragen en toegang tot hun data-systeem (Elektronisch Patiëntendossier) vragen of dergelijke systemen hacken. Dit kan bovendien leiden tot zorgmijdend gedrag bij patiënten en daarmee tot een bedreiging van de volksgezondheid.

N. Notificatieplicht
De notificatieplicht in de nieuwe wet schiet tekort. Vijf jaar na de inzet van een bevoegdheid onder de Sleepwet dient de betreffende persoon hierover in principe te worden geïnformeerd. Dit geldt echter slechts voor enkele van de nieuwe bevoegdheden. Privacy First is van mening dat de notificatieplicht moet gelden voor de inzet van álle bevoegdheden.

O. Onschuldpresumptie
Met de invoering van de nieuwe wet wordt het onschuldbeginsel omgedraaid. Door het sleepnet wordt potentieel elke burger 'verdacht', zonder concrete aanleiding om die burger te volgen. Daarnaast wordt de kans op false positives (onterechte verdenkingen) bij massale datavergaring erg groot.

P. Privacy
De privacy van onschuldige burgers wordt door de inzet van de Sleepwet geschonden. Zie hiervoor alle andere argumenten.

Q. Queeste naar data
Bij de overheid is een hongerlust naar data ontstaan. Waar landen om ons heen teruggaan naar een gerichte aanpak, gaat Nederland voor Big Data. Hierdoor wordt er steeds meer hooi verzameld en zal de speld steeds moeilijker te vinden zijn. Meer data zorgt niet meteen voor meer veiligheid.

R. Rechter
Een gerechtelijke toets vooraf aan de inzet van de bevoegdheden ontbreekt veelal. Zoals onder “TIB’ uitgelegd, mist de nieuwe toetsingscommissie de onderzoeksbevoegdheden voor effectief en onafhankelijk toezicht.

S. Sleepnet
Zie ‘Aftappen’

Strafbare feiten
Geheime agenten zijn zowel onder de huidige als de nieuwe wet bevoegd om strafbare feiten te plegen. De precieze reikwijdte van deze bevoegdheid is tot op heden echter onbekend. Onder de huidige wet kon deze bevoegdheid nader worden gereguleerd middels een (nooit ingevoerde) Algemene Maatregel van Bestuur (AMvB). De Commissie Dessens adviseerde enkele jaren geleden om die AMvB alsnog in te voeren. In de nieuwe Sleepwet is de grondslag voor deze AMvB echter geschrapt, waardoor sprake blijft van een juridisch vacuüm.

T. TIB
Onafhankelijk toezicht op alle fasen van de inzet van bevoegdheden door de diensten (voor, tijdens en achteraf) is onvoldoende gewaarborgd. Aangezien de inlichtingendiensten heimelijk opereren, kunnen burgers waartegen de bevoegdheden worden ingezet niet zelf bezwaar maken. Hiervoor dient de inzet van bevoegdheden onafhankelijk te worden getoetst. De nieuwe Toetsingscommissie Inzet Bevoegdheden (TIB) toetst vooraf slechts of de minister terecht toestemming heeft gegeven voor de inzet van een relatief zware ('bijzondere') bevoegdheid onder de nieuwe wet. Deze toetsing is met minder waarborgen omkleed dan toetsing door de rechter. Daarnaast heeft de TIB geen eigen onderzoeksbevoegdheden en is compleet afhankelijk van de informatie die hen wordt gegeven. Verscheidene instanties, zoals de Autoriteit Persoonsgegevens, hebben gewaarschuwd dat moet worden voorkomen dat de TIB een ‘stempelmachine’ zal zijn.

T. Terreurschwalbe
Door voorstanders van de Sleepwet zal vaak het argument aangehaald worden dat deze wet aanslagen zal voorkomen, Zondag met Lubach liet dat zien. In andere landen is echter al gebleken dat gericht werken veel effectiever is. De tegenstanders van de Sleepwet zijn het er over eens dat de huidige wet aan vernieuwing toe is, maar eisen ook dat de wet op cruciale punten wordt aangepast en verbeterd.

U. Uitwisseling van gegevens
Zoals onder ‘Buitenland’ omschreven, kunnen de gegevens van onschuldige burgers en journalisten die worden verzameld door de inzet van het sleepnet, ongezien gedeeld worden met buitenlandse geheime diensten.

V. Veiligheid
Onterecht worden privacy en veiligheid tegenover elkaar gezet. In een vrije democratische samenleving gaan privacy en veiligheid hand in hand. Er kan een goede Wet op de inlichtingen- en veiligheidsdiensten worden opgesteld met goede privacywaarborgen, waarbij de informatie van onschuldige burgers niet bij de inlichtingendiensten terecht komt.

W. Waarborgen
De wet geeft te grote bevoegdheden aan de inlichtingen- en veiligheidsdiensten en te weinig privacywaarborgen voor burgers. Na het referendum dient de wet terug naar de tekentafel te gaan, van fatsoenlijke waarborgen te worden voorzien en op de inzet van bevoegdheden te worden herzien.

Z. Zero-days
De inlichtingen- en veiligheidsdiensten hebben de bevoegdheid om gebruik te maken van onbekende zwakke plekken (zogenaamde zero-days) in software. Voor de inlichtingen- en veiligheidsdiensten zijn deze kwetsbaarheden dan bekend, maar voor de makers of fabrikanten van de software niet. De inlichtingen- en veiligheidsdiensten hoeven deze kwetsbaarheid niet te melden aan de fabrikant van de software. Hierdoor kunnen eventuele kwaadwillenden (langdurig) misbruik maken van deze kwetsbaarheden. Ook ontstaat hierdoor een zwarte markt voor handel in dergelijke kwetsbaarheden en datalekken.

Deze lijst is niet limitatief en kan voortdurend worden aangevuld.

Column

De laatste jaren wordt steeds meer wetgeving ingevoerd die onze vrijheid op korte, maar zeker ook op lange termijn ernstig bedreigt. Dit gebeurt telkens vanuit de angstkaart en door misbruik te maken van het vertrouwen van de burger in de rechtsstaat en de overheid. De politiek en overheid staan inmiddels ver verwijderd van de burger en zijn als de dood dat de burger echt gaat participeren in het democratisch bestel. Actueel voorbeeld hiervan is de nieuwe Wet op de inlichtingen- en veiligheidsdiensten (Wiv 2017) en het aanstaande referendum over deze zogeheten Sleepwet.

Beroepspolitici

De groeiende kloof tussen burger en bestuur wordt in mijn ogen voornamelijk veroorzaakt door een teveel aan beroepspolitici. Het woord beroepspoliticus geeft het al aan: in de eerste plaats het verdedigen van de baan en het beroep en daarna pas opkomen voor de burger als politicus. De vertegenwoordiging van de burger wordt verder ondermijnd door het afschaffen van participatiemogelijkheden, met in de eerste plaats het referendum. In plaats van een gedegen onderzoek naar mogelijkheden van burgerparticipatie, referenda en toepassingen op de verschillende niveaus van besluitvorming, wordt er met een groot dedain over de “onwetende en domme” burger gesproken die niet in staat zou zijn om met “complexe” materie om te gaan en dat beter kan overlaten aan de zogenaamde “specialisten”. De en/en-mogelijkheid te onderzoeken wordt echter niet besproken en angstvallig vermeden.

Incidentgedreven politieke waan van de dag

Een andere oorzaak van de groeiende kloof is het niet goed of onvoldoende uitvoeren van reeds ingevoerde wetgeving c.q. beleid door politiek en overheid. Een trend die daaruit voortkomt is incidentgedreven, politieke waan-van-de-dag besluitvorming. Door falende uitvoering en ondersteuning komen incidenten uitvergroot in de publiciteit en moet er per direct een ‘oplossing’ komen. Feiten en aantallen tellen dan niet meer en de emotie overheerst. Ook worden incidenten gebruikt voor het versneld doorvoeren van – in onze ogen – onjuiste en ondoordachte wetgeving, in combinatie met de angstkaart.

Omkering van rechtsprincipes

Dit alles gebeurt met de omkering van basale rechtsprincipes: in plaats dat de uitzondering of het incident de regel bevestigt, lijkt het leidende adagium sinds enige tijd: ‘de regel bevestigt de uitzondering’. Of het nu gaat om vrijheid van meningsuiting op verschillende vlakken of het ontnemen van de burger van zijn/haar rechten, telkens is het beeld hetzelfde: het incident staat bovenaan, vervolgens komt er een debat voor te veranderen wetgeving en wordt nieuwe technologie als gouden kalf vanuit centralisatie en controle ingevoerd. De lucratieve contracten voor de lobby vanuit de IT-sector blijven daarbij meestal buiten beeld.

Staatsterrorisme

Als voorzitter van Privacy First heb ik het al vaker gemeld: de ‘straatterrorist’ is explosief en krijgt veel aandacht en bestrijdingsbudget, de bijbehorende ‘staatsterrorist’ is echter als een sluipwesp. Wetgeving veranderen ten koste van onze vrijheid en privacy is relatief gemakkelijk en stuit vanuit het aanwezige vertrouwen van de burger op relatief weinig weerstand. Via allerlei omwegen in Brussel, Den Haag en publiek-private samenwerkingen wordt gelobbyd voor meer en verdere controle op onze samenleving. Politici en ambtenaren die bewust en onbewust verkeerde wetgeving invoeren bij gebrek aan kennis en een strakke toetsing op onze Grondwet, zijn naar mijn mening staatsterroristen en dienen ontslagen te worden uit hun functie. De overheidsvertegenwoordiging is er immers voor de burgers en niet andersom. Dit opdat de burger morgen niet wakker wordt in een elektronische en democratisch ogende gevangenis.

Sleepwet

De nieuwe Wet op de Inlichtingen- en veiligheidsdiensten is naar onze mening een slechte wet. Deze wet gaat namelijk uit van:
1) Profiling op basis van een sleepnetwerking door middel van grootschalige verzameling en opslag van data van onschuldige burgers.
2) Hierdoor eigent de overheid zich een ongehoorde inbreuk toe op de privésfeer, privécommunicatie en privé-bewegingen van burgers, realtime.
3) Tot overmaat van ramp wordt de vergaarde informatie ook nog eens ongefilterd gedeeld met buitenlandse diensten.

Het lijkt alsof er een Korsakov-effect is opgetreden in de wetgevende macht en de historie van de afgelopen jaren volledig is uitgewist in de politiek. Echelon, Carnivore, Snowden, grootschalige datalekken: voorbeelden van welke nachtmerries zich in de toekomst gaan ontketenen met het verzamelen en delen van deze informatie. Met een burger die nu nog vrijheid geniet, maar steeds verder in het nauw gedreven wordt en in een verstikkend chilling effect terechtkomt. Waarbij een neutrale mening ineens gezien wordt als controversieel en de burger ondergronds gaat om nog gehoord te worden en dus radicaliseert; voorbeelden zijn de huidige polarisatie op internet en de ‘nepnieuws’-discussies. De ‘terroristen’ van morgen zullen in mijn ogen dan ook huidige normale burgers zijn die geen kant meer op kunnen met hun honderd procent gecontroleerde mening en bewegingsvrijheid.

ABC tegen de Sleepwet

Privacy First heeft naast de drie hoofdzaken, die ik hiervoor genoemd heb, vanuit onze standpunten op basis van het alfabet, nog aanvullende argumenten TEGEN deze wet. Wij zijn voor een goed functionerende overheid en veiligheidsdiensten, maar dan wel geborgd vanuit de basisprincipes van onze rechtsstaat, de Grondwet en het serieus nemen van de burger. De huidige wet zal dus op een groot aantal punten fundamenteel aangepast moeten worden, ook in de uitvoering die een aantal vage omschrijvingen en escapes biedt voor misbruik. De regel kan immers niet de uitzondering bevestigen, met alle burgers onder continue verdachtmaking. Privacy First adviseert dan ook een tegenstem bij het referendum over de huidige Sleepwet, gevolgd door grondige aanpassing van die wet. Bij gebreke hiervan zullen Privacy First en medestanders dit bij de rechter afdwingen, voor een duurzaam vrije en veilige toekomst van onszelf en onze kinderen!

Bas Filippini,
voorzitter Stichting Privacy First

In het kader van het aanstaande referendum rond de nieuwe Wet op de inlichtingen- en veiligheidsdiensten (Sleepwet) verzond Privacy First vandaag onderstaande oproep (pdf-versie) aan alle lokale politieke partijen in heel Nederland:

Geachte lokale politicus,

Op 21 maart 2018 mogen wij naar de stembus, niet alleen om de volksvertegenwoordiging voor de komende vier jaar in de gemeente te kiezen, maar ook om te stemmen bij het referendum over de nieuwe Wet op de inlichtingen- en veiligheidsdiensten. Privacy First wil u hierbij graag op een aantal cruciale onderdelen van deze nieuwe wet wijzen die ook de inwoners van uw gemeente kunnen treffen.

Sleepnet

U heeft er wellicht al over gehoord: de bijnaam van de nieuwe Wet op de inlichtingen- en veiligheidsdiensten is de Sleepwet. Dit komt door de nieuwe bevoegdheid in de wet om het internetverkeer van grote groepen mensen tegelijk af te tappen. Zo kan er een tap worden geplaatst op een bepaalde gemeente, een wijk, buurt of straat, indien daar een ‘target’ van de geheime dienst woont. Daarbij wordt de communicatie van onschuldige burgers verzameld door middel van een digitaal sleepnet. Privacy First is van mening dat de gegevens van onschuldige burgers niet thuis horen bij de inlichtingendiensten. Bovendien neemt de effectiviteit van de inlichtingendiensten af door de te grote hoeveelheid vergaarde data.

Delen van gegevens met het buitenland

Gegevens die vergaard zijn met het sleepnet mogen onder de nieuwe wet ongeëvalueerd met het buitenland gedeeld worden. Dit betekent dat de Nederlandse inlichtingendiensten ongeziene en ongeselecteerde gegevens (van onschuldige burgers) met het buitenland kunnen delen. Op het gebruik van deze gegevens is vervolgens geen toezicht meer te houden door de Nederlandse diensten.

Toegang tot (gemeentelijke) databanken

De nieuwe wet maakt directe, automatische toegang tot databanken in de gehele private én publieke sector mogelijk. Hiermee kunnen de inlichtingendiensten realtime toegang krijgen tot de Basisregistratie Personen en andere gevoelige lokale databanken. Bovendien dienen versleutelde (communicatie)data op verzoek ontsleuteld te worden. Weigering om aan een decryptiebevel te voldoen wordt bestraft met 2 jaar hechtenis.

Hackbevoegdheid

Onder de nieuwe wet krijgen de inlichtingendiensten de mogelijkheid om een target te hacken via onschuldige derden. Dit houdt in dat de inlichtingendienst door het hacken van een derde (tante, zus, vriend, vriendin, opa, collega, buurman, werk, overheid, etc.) toegang krijgt tot informatie over het doelwit van de dienst. Dit betekent dat de apparaten van onschuldige burgers in uw gemeente gehackt kunnen worden door de diensten. Deze burgers zullen hiervan nooit op de hoogte raken (er geldt hiervoor geen notificatieplicht).

Oproep

Wij roepen u op om Privacy First te steunen in het waarborgen van de mensenrechten van alle inwoners van Nederlandse gemeenten en uw kiezers op te roepen om tegen de Wet op de inlichtingen- en veiligheidsdiensten te stemmen tijdens het referendum op 21 maart. Hiermee moet de wet terug naar de tekentafel en van aanzienlijke mensenrechtenwaarborgen worden voorzien.

Bij voorbaat dank voor uw steun!

Met vriendelijke groet,

Stichting Privacy First

NATIONALE PRIVACY CONFERENTIE 2018 

Op dinsdag 30 januari 2018 organiseerden ECP|Platform voor de InformatieSamenleving en Privacy First in het Amsterdamse Volkshotel gezamenlijk de allereerste Nationale Privacy Conferentie. Met de snelle digitalisering van onze maatschappij staat het recht op privacy in toenemende mate onder druk. Hoe kunnen wij als samenleving digitaliseren én onze privacy behouden en versterken? Hoe zou Nederland zich kunnen ontwikkelen tot internationaal Privacy Gidsland? Tijdens de conferentie probeerden wij gezamenlijk antwoorden op deze vragen te vinden.

SPREKERS

Aleid Wolfsen (Autoriteit Persoonsgegevens)

Onze eerste keynote speaker was Aleid Wolfsen, voorzitter van de Autoriteit Persoonsgegevens. Hij begon zijn presentatie met het filmpje dat te vinden is op www.hulpbijprivacy.nl, de nieuwe campagne van de Autoriteit Persoonsgegevens over de Algemene Verordening Gegevensbescherming (AVG) die op 25 mei 2018 in werking treedt. Dit is een bewustmakingscampagne voor iedereen over de rechten en plichten die voortvloeien uit de nieuwe Europese privacywetgeving.

De huidige Wet bescherming persoonsgegevens (Wbp) wordt ingetrokken, want die wet is verouderd en niet up-to-date met de huidige digitale samenleving. De Algemene Verordening Gegevensbescherming is technologieneutraal en voorziet in die behoefte.

Het recht op privacy is een grondrecht en is ook in verschillende Europese verdragen opgenomen. Dit recht wordt door de EU uitgewerkt in wetgeving door middel van richtlijnen en verordeningen. De Algemene Verordening Gegevensbescherming heeft directe werking in de lidstaten.

“Als we praten over privacy, dan praten we ook over de fundamenten van de Nederlandse rechtsorde. Als je het privacyrecht van mensen schendt, dan raak je die fundamenten. En die fundamenten van de Nederlandse rechtsorde zijn 1) gelijkheid, 2) solidariteit, 3) de klassieke vrijheidsrechten en als laatste de democratische rechtsstaat.”

Privacy was vroeger een stuk eenvoudiger, je deed bijvoorbeeld de gordijnen dicht en niemand kon zien wat je op tv keek of welke boeken je in de kast had staan. Het privacyrecht wordt alsmaar belangrijker, aangezien alle gegevens kunnen worden opgeslagen en aan elkaar kunnen worden gekoppeld. Wanneer we zouden kijken in de telefoon van de bezoekers van deze conferentie en zouden opzoeken wat hun laatste zoektermen waren in een zoekmachine, dan zouden we wellicht meer weten over de bezoekers dan zijn/haar partner en ook meer weten over je gezondheid dan je huisarts. Daarom is het zo belangrijk dat er nu in Europees recht is vastgelegd dat je persoonsgegevens worden beschermd.

Waar gaat het nou eigenlijk om bij privacy?
Privacy is bescherming tegen een almachtige, alwetende overheid. Het recht om met rust gelaten te worden, om onbevangen overal jezelf kunnen zijn, zonder dat je gevolgd wordt en bespied wordt of dat overal camera’s hangen. Dat je als vrij burger, in een vrij land, vrij kunt leven. Dat je alleen maar prijsgeeft waarvan jij denkt dat dat prijsgegeven moet worden. Daarom wordt dataprotectie per dag alsmaar belangrijker.

De drie pijlers onder de AVG
De eerste pijler is versterking en verbreding van de privacyrechten van mensen. Zoals het recht op inzage, de toestemming wordt strenger, recht op correctie, recht op vergetelheid, dataportabiliteit en het recht om te kunnen klagen. Als je vanaf 25 mei as. denkt dat je onrecht wordt aangedaan, dan kun je bij de Autoriteit Persoonsgegevens een klacht indienen en die klacht gaat de Autoriteit verplicht behandelen. Want als tweede pijler heeft de Autoriteit Persoonsgegevens als Europese privacytoezichthouder meer bevoegdheden gekregen. Indien de Autoriteit oordeelt dat bepaald handelen onrechtmatig was, dan zal de Autoriteit ook optreden. Dit kan door middel van een waarschuwing, maar ook door het opleggen van (draconische) boetes.

Als derde pijler: meer verantwoordelijkheden voor organisaties. De plicht om gegevensverwerkingen te melden bij de Autoriteit komt te vervallen, want elke overheid en bedrijf verwerkt inmiddels gegevens. Organisaties moeten wel een register bij gaan houden met wat ze verwerken en dit moet je ook kunnen verantwoorden. Elke overheidsinstelling en sommige private organisaties zijn verplicht om een Functionaris Gegevensbescherming aan te stellen. Daarnaast moeten bedrijven en overheden een Privacy Impact Assessment doen. Twee andere belangrijke beginselen voor verwerkingsverantwoordelijken zijn privacy by design – als je iets gaat ontwikkelen dan moet dat privacyvriendelijk worden ontwikkeld – en privacy by default.

Wat betekent de wet voor de toezichthouder?
De Autoriteit Persoonsgegevens is verantwoordelijk voor het toezicht en de handhaving van de wet, krijgt steviger boetebevoegdheden, internationale samenwerking, grensoverschrijdende bevoegdheden, voorlichting voor het algemeen publiek en aan organisaties.

Wanneer is een Functionaris Gegevensbescherming verplicht?
Overheden en publieke organisaties zijn altijd verplicht een functionaris gegevensbescherming te hebben. Daarnaast ook wanneer een organisatie bijzondere persoonsgegevens verwerkt, zoals een zorginstelling, of indien je grootschalig mensen observeert.

Antwoorden op vragen uit het publiek:

Wat gebeurt er met het geld van de boetes?
Deze gaan terug naar de Rijkskas, naar de algemene middelen.

Kunt u meer vertellen over de Uitvoeringswet van de AVG en heeft het invloed op Europese samenwerking?
De Uitvoeringswet ligt momenteel nog bij de Tweede Kamer. Nederland probeert de AVG zo neutraal mogelijk te implementeren, want hoe meer we zouden afwijken, hoe moeilijker het zou worden om op Europees niveau samen te werken.

Is er een overgangstermijn voor de handhaving?
Nee, er is geen overgangstermijn, want de inwerkingtreding heeft al heel lang geduurd. In 2016 is er nog twee jaar extra gegeven voor de inwerkingtreding zodat bedrijven compliant met de AVG kunnen worden.

Klik HIER voor de presentatie van Aleid Wolfsen (pdf).

Gerrit-Jan Zwenne (Universiteit Leiden)

De tweede keynote speaker was Gerrit-Jan Zwenne, als hoogleraar verbonden aan het eLaw Centrum voor Recht en Digitale Technologie van de Universiteit Leiden. Zwenne plaatste in zijn betoog een aantal kanttekeningen bij de privacywetgeving en begon met een citaat van Niels Bohr: “It’s hard to make predictions. Especially about the future.” Onze wetgever doet voorspellingen over de toekomst en technologische ontwikkelingen. Wat was het begin van het moderne denken over privacy? In vrijwel alle scripties die Zwenne voorbij ziet komen staat een voetnoot of citaat uit een belangrijke publicatie uit 1890 door Samuel Warren en Louis Brandeis in de Harvard Law Review. Zij schreven een artikel over the right to be left alone naar aanleiding van een technologische ontwikkeling, namelijk het draagbare fototoestel. Een aantal andere ontwikkelingen, zoals de trein en de krantenpers, zorgden ervoor dat een beeld binnen aanzienlijke tijd het hele continent kon bereiken. Hierover dachten Samuel Warren en Louis Brandeis na: zou dit allemaal zomaar mogen, je zou toch het recht moeten hebben om met rust gelaten te worden?

Waar komt onze eigen huidige privacywetgeving vandaan? Ook dat is een reactie op technologische ontwikkelingen en dan denken we vooral aan de computer. Al in de jaren 50 zorgden computers voor vrees over wat er met de gegevens gebeurde. Begin jaren 70 richtte de maatschappelijke discussie zich op het profileren door middel van computers. Moeten we het machtsevenwicht dat is verstoord door computers, doordat gegevens worden vastgelegd, reguleren door middel van wetgeving en de burger rechten geven over wat er is vastgelegd in die computer? In Nederland werd toen de Commissie Koopmans ingesteld, deze heeft een rapport geschreven dat is behandeld in de Tweede Kamer, maar daar is vervolgens niks mee gedaan. In Duitsland is toen wel wetgeving gekomen, als directe reactie op de technologische ontwikkelingen. Uiteindelijk is dat de basis geweest voor de Europese Privacyrichtlijn (95/46/EC) en onze Wet bescherming persoonsgegevens (Wbp). Bij nieuwe wetgeving probeer je te voorspellen wat de komende technologische ontwikkelingen zijn, aangezien je wilt dat de wet toekomstbestendig is. In het juridische domein lossen we dat op door open begrippen en vage normen. We bedenken nieuwe rechten en soms zijn die experimenteel. Een gewaagd en interessant experiment is het recht op vergetelheid. Dat is eigenlijk een wat merkwaardig experiment; we hebben nog geen idee wat dat betekent voor onze samenleving. En het is ook te ongenuanceerd. Daarnaast is er dataportabiliteit, waarbij je gegevens van de ene partij kan overdragen naar een andere partij. De partijen moeten de gegevens helder aan de consument verstrekken, vaak zul je hierbij eigen ‘kluisjes’ krijgen bij bedrijven, mijn-telecomprovider, mijn-muziekdienst, mijn-energiedienst. En daaraan kleven ook privacyrisico’s, onder andere qua beveiliging en ook wanneer je van de ene partij wilt overstappen naar een ander. Dit kan al snel via één klik, maar je wilt hierbij ook een sterke authenticatie.

Het recht op vergetelheid
De Chinese keizer Qin Shi Huangdi liet alle boeken van vorige regimes verbranden. Dat is het gevoel dat Gerrit-Jan Zwenne een beetje heeft bij het recht op vergetelheid. Is het een goed idee dat we de geschiedenis op die manier gaan herschrijven? Inmiddels is hij wat genuanceerder, in de tijd van Big Data, dat we iets moeten hebben wat lijkt op het recht op vergetelheid, maar wellicht is het nu nog te absoluut. Misschien moet het vergeetrecht gelden voor vijf of tien jaar en daarna krijg je een jaar van te voren een mededeling, mocht je het langer willen laten gelden, dat je een nieuw verzoek moet doen. We moeten die rechten in balans brengen met het recht op informatie en het recht op vrijheid van meningsuiting. Zo’n absoluut vergeetrecht is niet alleen onhoudbaar, via bijvoorbeeld een VPN in de Verenigde Staten vind je de informatie toch wel weer, maar het is ook niet wenselijk. Het vergeetrecht is nog onvoldoende doordacht.

Er zijn volgens Zwenne nog meer gebreken in de privacywetgeving aan te wijzen. Deze definitie kent u natuurlijk: “’personal data’ means any information relating to an identified or identifiable natural person”. Dit is een kernbegrip uit de AVG en de Wbp en het is toch raar dat mensen met verstand van data, met verstand van informatie, zich afvragen waarom wij dat zo definiëren. Mensen met verstand van informatie definiëren informatie immers aan de hand van data. In de privacywetgeving wordt dat omgedraaid en dat kan helemaal niet, aldus Zwenne.

Klik HIER voor de presentatie van Gerrit-Jan Zwenne (pdf).

 “Onderzoeker”

Plots kwam een onderzoeker de zaal binnen. Op een ludieke manier testte hij de bereidwilligheid van aanwezigen om hun mobiele telefoon af te geven aan hun buurman of buurvrouw. Met de vragen die hij stelde probeerde hij in kaart te brengen welke informatie je wel wilt delen en welke niet. Het publiek van deze conferentie was op haar hoede en deelde weinig. De onderzoeker was een acteur van “Wat we doen”; een theatergroep die een maatschappelijk thema (dit keer privacy) onder de aandacht wil brengen van o.a. scholieren. Voor meer informatie hierover verwijzen we graag naar https://watwedoen.nl/.

Jaap-Henk Hoepman (Radboud Universiteit)

De derde spreker van de dag was Jaap-Henk Hoepman, directeur van het Privacy & Identity Lab aan de Radboud Universiteit Nijmegen. Hoepman sprak met name over privacy by design:

Voor veel mensen is privacy by design een vaag begrip. Het gaat erom dat je privacyaspecten meeneemt in het hele ontwikkeltraject van systemen. Vanaf het moment dat je gaat nadenken van het concept van het systeem, tot het ontwerp en daarna de implementatie. Dat maakt privacy eigenlijk een soort software quality attribute, vergelijkbaar met security en performance. Daarnaast is privacy by design een proces, omdat het door het gehele ontwikkelproces moet worden meegenomen.

Waarom is privacy by design belangrijk?
Privacy by design beperkt privacy-risico’s en daarmee ook eventuele reputatieschade of herstelkosten. Wie verkleint, vermindert of voorkomt kan deze schade beperken, onder het motto: “Wat je niet hebt kun je ook niet verliezen.” Een ander aspect dat onderbelicht is, is dat het nieuwe business mogelijk maakt, net zoals security by design internetbankieren mogelijk maakt. Privacy by design is noodzakelijk als je dingen in bijvoorbeeld de zorg, Internet of Things of Quantified Self voor elkaar wilt krijgen op een verantwoorde manier. En als laatste waarom privacy by design noodzakelijk is, is omdat het een vereiste is uit de AVG.

In Nijmegen heeft men nagedacht over privacy design strategies waarin vage juridische normen worden vertaald naar een achttal (technische) ontwerpeisen. Dit zijn acht onderwerpen waar je als techneut over moet praten met de business en de juridische afdeling als het gaat om het ontwerp van het systeem.

Data georiënteerde strategieën
Als je kijkt naar een informatieverwerkend systeem als een database, waarbij gegevens worden verzameld over individuen, en over die individuen worden verschillende attributen verzameld, zoals leeftijd, adres, naam et cetera, dan is minimaliseren één van de eerste dingen die je kunt doen, dus niet alle mogelijke attributen verzamelen, maar daar een selectie uit maken. Als tweede kan je attributen in verschillende databases stoppen, zodat data niet gecombineerd kunnen worden. Het derde wat je kan doen is gegevens abstraheren, door bijvoorbeeld te registreren of iemand ouder is dan achttien in plaats van de specifieke leeftijd. En het laatste wat je kunt doen, bij een kleinere database, is deze adequaat te beschermen.

Proces-georiënteerde strategieën
Ten eerste: informeer gebruikers over de verwerking van hun persoonsgegevens. Geef vervolgens gebruikers controle over de verwerking van hun persoonsgegevens. Daarna committeer je aan een privacyvriendelijke verwerking van persoonsgegevens en dwingt dit af. En als laatste toon je aan dat je op een privacyvriendelijke wijze persoonsgegevens verwerkt.

Het scheiden van gegevens
Het is belangrijk om na te denken over het fysiek scheiden van gegevens en na te denken over een ontwerp van een systeem waarin deze gegevens niet centraal worden verzameld, maar op bijvoorbeeld individuele apparaten van gebruikers. Een interessant voorbeeld hiervan is de mogelijkheid op een iPhone om op basis van gezichtsherkenning automatisch mappen aan te laten maken en foto’s te selecteren; dit gebeurt op de smartphone zelf en niet in een centraal systeem. Een ander goed voorbeeld hiervan heeft betrekking op social media. Facebook is centraal georganiseerd: alle informatie staat centraal opgeslagen bij Facebook. Maar als je kijkt naar de functionaliteit, namelijk het directe contact met vrienden en kennissen, dan zou je dit ook peer-to-peer kunnen doen. En dat dan de gegevens die je wilt delen op je eigen smartphone staan en dat je die direct deelt met de smartphone van vrienden en kennissen. Dat is een hele andere manier van denken, en hierover kun je nadenken bij de ontwikkeling van elk systeem.

Gegevens abstraheren
Dit houdt in dat je gegevens niet in detail verwerkt, maar dit meer in abstracto doet. Een van de triviale voorbeelden waarin dit is toegepast is in de slimme energiemeter. Bij de eerste slimme meter was het idee nog dat je gebruik realtime zou worden doorgegeven aan de leverancier. Dit gaf veel ophef, omdat dat veel informatie prijsgeeft over je persoonlijke levenssfeer. Daarom verzamelt de slimme meter nu je verbruik en geeft het totaal elke drie maanden door. Andere voorbeelden zijn leeftijdsverificatie: als je alleen hoeft te weten of iemand ouder is dan achttien, dan heb je niet per se de geboortedatum nodig.

Informeren
Zorg ervoor dat gebruikers direct op een makkelijke manier inzage hebben in de gegevens die jij van hen hebt verzameld. De meeste bedrijven hebben inmiddels wel een portal zoals mijn-internetprovider, mijn-telefoonprovider et cetera, waarbij gebruikers worden geïnformeerd.

Op de latere vraag vanuit de congresorganisatie wat Hoepmans ervaring was van deze middag antwoordde hij: “Goed te zien dat er steeds meer privacyvriendelijke oplossingen op de markt komen. Privacy by design is vooral een kwestie van *willen* en dan doen. Wel is extra aandacht nodig voor een goede uitwisseling van kennis tussen de verschillende partijen: er is in de techniek veel meer mogelijk dan de meeste organisaties weten. Daardoor blijven potentieel super-privacyvriendelijke oplossingen liggen.”

Klik HIER voor de presentatie van Jaap-Henk Hoepman (pdf).

Panel

Moderator Marjolijn Bonthuis (ECP) onderwierp het panel aan een aantal stellingen. De reactie van het publiek op de stellingen was vaak eensgezind, maar soms ook verschillend van mening. Vanuit het panel reageerde Tim Toornvliet (Nederland ICT) later als volgt: “Ik vond het een mooie mix van privacy-experts en privacy voorvechters. Het was inspirerend om te zien hoe de genomineerden met innovatieve technische oplossingen de privacy van gebruikers willen verbeteren”.  “Privacy is springlevend!” is een uitspraak van panellid Lennart Huizing (Privacy Company). Hij vond het heel grappig dat de reactie van de zaal op de stelling ‘privacy is belangrijker dan veiligheid’ massaal was: “dat is een valse dichotomie!” Dan heb je een interessant publiek gevonden... Het tastbare ongemak rondom het afgeven van mobieltjes aan de buurman vond hij ook heel boeiend.

Nederlandse Privacy Awards

Genomineerden

Er zijn 4 categorieën waarvoor inschrijvingen genomineerd konden worden:

1. categorie Consumentenoplossingen (van bedrijven voor consumenten)

2. categorie Bedrijfsoplossingen (binnen een bedrijf of business-to-business)

3. categorie Overheidsdiensten (van de overheid voor burgers)

4. Aanmoedigingsprijs voor een baanbrekende technologie of persoon.

Uit de diverse inzendingen had de onafhankelijke vakjury de volgende genomineerden per categorie bepaald:

Consumentenoplossingen:
IRMA (I Reveal My Attributes)
Schluss

Bedrijfsoplossingen:
TrustTester
Personal Health Train

Overheidsdiensten:
Jeugd Implementatieplan Privacy (gemeente Amsterdam)

Na de discussie met panel en publiek kregen de vijf genomineerden de kans om hun verhaal te vertellen: Schluss, Personal Health Train, IRMA, TrustTester en Jeugd Implementatieplan Privacy (gemeente Amsterdam) deelden hun mooie initiatieven met de zaal.

Presentaties

IRMA (pdf) https://www.youtube.com/watch?v=q6IihEQFPys

Schluss (pdf) https://www.youtube.com/watch?v=f-cU5Izs5EI

TrustTester (pdf) https://www.youtube.com/watch?v=JCivU3LQg-8

Personal Health Train (pdf) https://www.youtube.com/watch?v=Sn-KK4reRGg

Jeugd Implementatieplan Privacy, gemeente Amsterdam (pdf)

Winnaars

Na afloop van de Award-pitches door de genomineerden nam juryvoorzitter Bas Filippini (Privacy First) het woord en kon Bart Jacobs van IRMA de felbegeerde allereerste Nederlandse Privacy Award in ontvangst nemen. IRMA (I Reveal My Attributes) is een state-of-the-art open source identity platform waarin gebruikers zich middels een app kunnen authenticeren op basis van één of meer kenmerken vanuit hun verschillende rollen (contextuele authenticatie). Deze authenticatie is niet identificerend: door gebruik te maken van een 1-op-1 relatie tussen gebruiker en dienstverlener zijn zogenaamde “brokers” niet meer nodig en kan de gebruiker anoniem gebruikmaken van diensten, zonder wachtwoord en met een minimum aan benodigde kenmerken (“attributes’). Het systeem is ontwikkeld door de Digital Security onderzoeksgroep van de Radboud Universiteit Nijmegen. Sinds eind 2016 is IRMA ondergebracht bij de onafhankelijke stichting Privacy by Design.

De jury prijst de ontwikkeling van IRMA vanuit de academische wereld als algemeen bruikbare privacy by design toepassing voor zowel de private als de publieke sector. Als middel voor privacyvriendelijke authenticatie spreken het grote innovatieve vermogen van de gehanteerde open-source techniek, de directe inzetbaarheid en de potentiële maatschappelijke impact van IRMA de jury enorm aan.

In het bredere kader van Nederland Privacy Gidsland is IRMA door de jury daarom unaniem gekozen als winnaar van de Nederlandse Privacy Awards 2018.

‘Sleepwet-studenten’

Op initiatief van vijf Amsterdamse studenten wordt op 21 maart as. een nationaal referendum gehouden over de controversiële nieuwe Wet op de inlichtingen- en veiligheidsdiensten (‘Sleepwet’). Ongeacht de uitkomst van dit referendum zal dit leiden tot een hoger (en waarschijnlijk kritischer) Nederlands privacybewustzijn. Reeds dit feit vormde voor de jury unaniem reden om deze studenten te belonen met een Nederlandse Privacy Award (Aanmoedigingsprijs).

Klik HIER voor het hele juryrapport (pdf) met deelnamecriteria en toelichting bij alle genomineerden en de winnaars.

V.l.n.r.: Paul Korremans (jurylid), Luca van der Kamp (referendumstudenten), Esther Bloemen (Personal Health Train), Nina Boelsums (referendumstudenten), Bas Filippini (jury-voorzitter), Bart Jacobs (IRMA), Arjan van Diemen (TrustTester), Marie-José Hoefmans (Schluss) en Wilmar Hendriks (Jeugd Implementatieplan Privacy, gemeente Amsterdam). 

De middag werd afgesloten met een borrel waar de winnaars de felicitaties in ontvangst namen en de sprekers hun verhaal verder toelichtten. Deze editie smaakt naar meer! Binnenkort volgt meer informatie over volgend jaar.

Voor meer informatie over de privacy by design community verwijzen we graag naar https://ecp.nl/community-privacy-by-design.

Tot de volgende editie!

Privacy First en ECP | Platform voor de InformatieSamenleving

Privacy First organiseerde deze editie van de Nederlandse Privacy Awards met steun van Stichting Democratie & Media en Adessium Foundation, in samenwerking met ECP. Wilt u ook partner van de Nederlandse Privacy Awards worden? Neem dan contact op met Privacy First!

15 maart 2018: het Privacy First Sleepwet Debat

In het kader van het aanstaande referendum nodigt Stichting Privacy First u graag uit voor een kritisch publieksdebat over de privacy-aspecten rond de nieuwe Wet op de inlichtingen- en veiligheidsdiensten, de zogeheten ‘Sleepwet’. Dit debat zal plaatsvinden op donderdagavond 15 maart as. in het Parool Theater in Amsterdam (tegenover onze kantoorlocatie). Voor deze avond hebben wij drie sprekers uitgenodigd: Dick Schoof (Nationaal Coördinator Terrorismebestrijding en Veiligheid), Nine de Vries (Amnesty International Nederland) en Otto Volgenant (Boekx Advocaten). De moderator van de avond is Bart de Koning (onderzoeksjournalist op het gebied van privacy en veiligheid). Tijdens het debat is er veel ruimte voor discussie tussen de sprekers onderling en met het publiek, gevolgd door een borrel waar wij samen kunnen proosten op een succesvol referendum!

Iedereen is welkom, toegang is gratis. Aanmelden kan via Dit e-mailadres wordt beveiligd tegen spambots. JavaScript dient ingeschakeld te zijn om het te bekijken., maar is niet verplicht.

Datum: donderdag 15 maart 2018, 19.30-21.30u (inloop vanaf 19.00u), borrel na afloop.
Locatie: Parool Theater, Wibautstraat 131D te Amsterdam (naast The Student Hotel).
Een routebeschrijving vindt u hier.

Klik HIER voor de uitnodiging zoals Privacy First die vandaag aan haar netwerk verzond (pdf). Wilt u voortaan directe uitnodigingen voor onze evenementen ontvangen? Mail ons! Dan voegen wij u toe aan onze mailinglist.

Update 16 maart 2018: bekijk hieronder de volledige video van het publieksdebat!  

Hoe kunnen kinderen zich nog vrij en veilig ontwikkelen in een leeromgeving waar alles over hen digitaal wordt opgeslagen en kan worden uitgewisseld?

Publieksdebat Kinderen en Privacy                                   Foto's: Bertus Gerssen

Op 17 januari 2018 vond de Nieuwjaarsborrel van Privacy First en ons publieksdebat Kinderen & Privacy plaats in het Volkshotel, tevens kantoorlocatie van Privacy First, te Amsterdam. Deze avond stond grotendeels in het teken van een thema dat Privacy First steeds meer zorgen baart: de privacy van onze kinderen in een wereld die steeds verder digitaliseert, met name in het onderwijs. Hoe kunnen kinderen zich nog vrij en veilig ontwikkelen in een leeromgeving waar alles over hen digitaal wordt opgeslagen en kan worden uitgewisseld? Welke gegevensverwerkingen vinden in het onderwijs plaats, welke risico’s kleven hieraan en welke maatregelen kunnen worden getroffen om de privacy van leerlingen te waarborgen? Achtereenvolgens kwamen Bas Filippini (voorzitter Privacy First), Huib Gardeniers (Net2Legal), Simone van Dijk (Privacy First), Arda Gerkens (Eerste Kamer en Meldpunt kinderporno op internet) en Iris Hoen (Wille Donker Advocaten) aan het woord. Hieronder ons verslag:

Bas Filippini – voorzitter Privacy First

Privacy First is nu negen jaar bezig en heeft in 2017 structurele fondsen gekregen van o.a. Stichting Democratie en Media en Adessium Foundation. Dat geeft ons ruimte om te investeren in de organisatie, hierdoor hebben we het afgelopen jaar kunnen uitbreiden en Robbie van Herwerden aangenomen voor structurele research. Dit geeft ons een basis om de discussie zo feitelijk mogelijk te voeren in een debat waar de emotie vaak hoog oploopt. Verder is ons bestuur uitgebreid met Paul Korremans, waardoor wij dichterbij komen tot een driekoppig bestuur. 
 
Onze aandacht is afgelopen jaar vooral uitgegaan naar politieke lobby omtrent de onderwerpen Automatische Nummerplaatherkenning (ANPR), de nieuwe Wet op de inlichtingen- en veiligheidsdiensten (Wiv of Sleepwet), het wetsvoorstel Computercriminaliteit III ('politie-hackwet'), het Systeem Risico Indicatie (SyRI, risicoprofilering) en horizontale privacy, oftewel privacy tussen mensen onderling. Wij hebben ons ingezet voor het referendum tegen de Sleepwet en hebben input geleverd over de Nederlandse privacysituatie bij de VN Mensenrechtenraad. Daarnaast zijn er in 2017 ook rechtszaken gevoerd of ondersteund door Privacy First, onder meer rond de Arnhemse afvalpas, de OV-chipkaart, EPD/LSP, de zaak 'Burgers tegen Plasterk', trajectcontroles, kentekenparkeren en het recht op contante of anonieme betaling.

Wij denken mee met de banken over PSD2; we zijn van mening dat hier niet goed over is nagedacht en vinden het een heikel punt dat er in de uitgewisselde bankgegevens ook bankgegevens van derden staan. In 2018 komt de AVG (Algemene Verordening Gegevensbescherming), waarbij wij toejuichen dat hierdoor de belangstelling voor privacy is toegenomen. Aan de andere kant moeten we wel uitkijken dat we niet denken dat we er met de AVG wel zijn. De discussie dreigt zich te versmallen tot ‘privacy = data’. Privacy is echter meer dan dat. Het is de principiële basis van onze democratische rechtsstaat.

Kinderen en Privacy

We gaan momenteel richting een surveillance maatschappij met een Digital Life File vanaf de geboorte. Het is echter belangrijk voor de mens dat je fouten kan en mag maken en dat je van je fouten kan en mag leren. Dat verschoningsrecht dat je niet over 5, 10 of 15 jaar nog met een foutje dat je ooit hebt gemaakt wordt geconfronteerd, hoort erbij in het leerproces. De vragen die wij ons stellen zijn: wat gebeurt er momenteel op het gebied van kinderen en privacy, wat zijn hier de regels precies en hoe wordt daarmee om gegaan? Als we kinderen meer privacybewustzijn meegeven, kunnen ze beter omgaan met sociale media.

Huib Gardeniers – Net2Legal

Huib Gardeniers was moderator tijdens de avond. Gardeniers is sinds eind jaren '80 al betrokken bij het onderwerp privacy. Sinds die jaren is het onderwerp gegroeid en is het bewustzijn gegroeid, maar we zijn nog niet uit de essentiële vraagstukken. Juristen hebben dit onderwerp 'gekaapt', maar privacy gaat niet over juristerij. Privacy is meer dan dataprotectie alleen. Privacy is ook ethiek.

Eén van Gardeniers' nevenactiviteiten was dat hij door een ministerie was gevraagd om een Tafel voor privacy voor te zitten in het kader van een doorbraakproject ‘ICT en onderwijs’. Dit was een breed project om ICT te stimuleren in het onderwijs. Hij vond het een zeer interessante ontwikkeling, waarbij hij het idee had dat de verschillende partijen aan tafel niet goed door hadden wat de anderen deden. De verschillende partijen uit het onderwijs, zoals de VO-raad, PO-raad, leveranciers en scholen zaten over dit onderwerp voor het eerst om de tafel naar elkaar te luisteren. Hieruit kwam eigenlijk naar voren dat niemand precies wist wie nou eigenlijk wat met de verzamelde gegevens mocht doen. Dit was dan ook één van de aanbevelingen die werd gedaan. Het werd al snel opgepikt door de pers en hieruit volgden Kamervragen en werd door de Minister aangegeven dat er binnen drie maanden een Convenant moest komen. Dit Convenant kenmerkt zich eigenlijk door één ding en dat is rolverdeling. De essentie is dat scholen verantwoordelijk zijn voor de eigen gegevens en dat de uitgevers, leveranciers, distribiteurs en schoolinformatiesystemen de uitvoerders zijn van de scholen. Die kunnen dus niet zelfstandig bepalen wat ermee gebeurt. Kort gezegd: wie is verantwoordelijk en wie mag wat precies met de gegevens doen. Dit Convenant is breed opgepakt, maar er moet nog veel meer gebeuren in dit traject.

Er wordt vaak gekeken naar andere partijen, zoals de school en leveranciers. Maar vaak hebben we het niet over de ouders zelf. En daar wringt de schoen ook een beetje. We stappen wat te makkelijk over onszelf heen. Ter illustratie wordt een fragment uit Black Mirror, een serie van Netflix, vertoond. Dit laat zien dat, als reactie op de angst van een ouder, vaak controle volgt.

Zo ook met schoolinformatiesystemen zoals Magister, waarmee je als ouder online met je kind kunt meekijken. Daarbij bestaat een app waarmee je pushberichten kunt krijgen wanneer er nieuwe cijfers zijn en wanneer er afwezigheid is (spijbelen). Er zijn ouders die dat gebruiken en alles de hele tijd controleren. Oftewel: er gebeurt genoeg om ons heen waar we zelf invloed op hebben. 

Simone van Dijk – Privacy First

Simone is een bezorgde moeder en soms ook wel een angstige moeder, als ze ziet welke mogelijkheden er zijn om kinderen te volgen en dat daarvan ook gebruik wordt gemaakt. Ze maakt zich zorgen om de privacy van haar kind en dan vooral het gebrek daaraan. Ze is altijd al bezig geweest met privacy. Een voorbeeld uit het leven gegrepen was onlangs bij de Hema: “Wilt u een Hema klantenkaart?” “Nee dank u.” “Waarom wilt u dat niet? Maar dan krijgt u korting!” “Dat maakt mij niet uit.” “Maar waarom wilt u dat dan niet?” “Nou, gewoon omdat ik mijn gegevens niet aan u wil geven.” Waarop de kassière zei: “Nou mevrouw, ik ben benieuwd wat u dan van plan bent.” Misschien dat ze de volgende keer vraagt: “Nou mevrouw, mag ik dan uw adres, telefoonnummer en e-mail en doe gelijk ook maar de gegevens van uw kinderen. Waar zitten die op school?” Waarop waarschijnlijk al snel de beveiliging naar haar toe zou komen, om te vragen om te stoppen met intimiderend gedrag.

En dat gebeurt ook als ouder. Toen het kind van Simone naar school ging, kwam ze in aanraking met de digitalisering van het onderwijs en kwam ze in allerlei situaties terecht over de privacy van haar kind. En als je de privacy van je kind wilt beschermen, word je dat niet in dank afgenomen. De school vond de privacy niet zo heel belangrijk en de vragen waren vooral maar vervelend, en ook een reden om voor een andere school te kiezen. Maar toch wilde ze weten wat er precies allemaal van haar kind was opgeslagen. Hierop kreeg ze geen antwoord van de directrice, maar wel van de overkoepelende directeur van de scholengemeenschap, met het verzoek om de directrice niet meer met dit soort onzin lastig te vallen.

Zo ook met de gegevens die zijn opgeslagen bij de bibliotheek, waarover Simone onlangs een column voor Privacy First heeft geschreven. Ze had aangegeven dat ze niet wilde dat haar kind werd ingeschreven en dat er werd bijgehouden welke boeken er werden gelezen. Als tussenoplossing mocht haar kind even op de kaart van de docent boeken lenen, maar al snel werd het ultimatum gesteld dat haar kind mee kon doen of niet. Ondanks dat hiervoor geen toestemming was verleend, is haar kind alsnog ingeschreven bij de bibliotheek. De gegevens die hierbij werden opgeslagen waren niet alleen naam en adres, maar ook de schoolgroep. Waarom moet de bibliotheek dit weten? Als een kind blijft zitten, is dit dan ook meteen bij de bibliotheek bekend en bij wie eigenlijk nog meer? Wanneer je als ouder met deze partijen spreekt, zoals de bibliotheek en de softwareleverancier, dan wordt er lacherig over gedaan, "wat wilt u nou eigenlijk" en "u vindt het toch ook belangrijk dat uw kind boeken leest"? En dat is ook zeker belangrijk, maar nog belangrijker is dat er niet stelselmatig wordt vastgelegd welke boeken er worden geleend en dat anderen, zoals de leraar, dat kunnen zien en ook nog met derde partijen kan worden gedeeld. Men vindt het raar als je daar vragen over stelt. Je wordt als ouder neergezet als zeurpiet, maar als je ziet wat die partijen allemaal van een kind willen weten, dan ben je geen zeurpiet.

Als ouder wil Simone zelf de beschikking hebben over de gegevens van haar en haar kind. Zonder dat daarover discussies moeten worden gevoerd, en waarbij er een keuze is welke gegevens worden verwerkt. Je wordt als ouder gedwongen om in de digitalisering mee te gaan. Simone is inmiddels actief bij Privacy First en heeft als missie om ouders bewust te maken. En daarbij ook te kijken naar de scholen, bibliotheken et cetera, dat die zich bewust worden van wat zij precies verwerken en of dat allemaal wel nodig is. "Kijk eens vanuit het belang van het kind in plaats van wat wettelijk mag!"

Lees ook de columns die Simone voor Privacy First heeft geschreven:
Het begon eigenlijk al in de peuterklas
Is digitalisering in het onderwijs nou echt wel nodig?
Big Brother in de bibliotheek 

Arda Gerkens – Eerste Kamer en Meldpunt kinderporno op internet

Vaak wordt geroepen ‘de jeugd heeft de toekomst’. Deze uitspraak wordt vaak gebruikt door wat oudere mensen, maar Arda Gerkens gebruikt hem niet meer. Vooral omdat deze uitspraak verre van waar is wat de digitale wereld betreft. We zeggen al snel dat kinderen veel beter weten en sneller kunnen dan de oudere generatie als het om internet gaat. We laten belangrijke beslissingen over aan kinderen, omdat het tempo waarin we ons begeven te snel gaat. Het vergt tijd en aandacht om de consequenties van de digitale wereld te bevatten en die tijd en aandacht hebben we te weinig. We laten onze kinderen los in een wereld die wij eigenlijk niet kunnen overzien.

Het is toch ook heel schattig om een kindje te zien spelen met een iPad? Zoals in de reclame van KPN, waarbij het kleintje opeens praat met opa aan de andere kant van de wereld. Gezellig kletsen met opa, de zon komt op, contact met elkaar, mooi toch? Arda vindt dat ook heel mooi, maar is wel blij dat dat kindje opa heeft aangeklikt en geen andere persoon die misschien hele andere bedoelingen heeft. Want dat gebeurt wel, dat kinderen worden verleid via een iPad tot het doen van andere dingen. Dat ziet Arda in haar werk en dat gebeurt ook dichtbij.

Wie had vroeger een dagboek? En wat was daarbij belangrijk? Een slotje, want wat je daarin schreef moest wel privé blijven. En eigenlijk heeft nooit iemand anders in dat dagboek gelezen. Dat komt niet per se door dat slotje, want dat is eigenlijk maar een lamlendig ding en geen goede beveiliging. Je beslist zelf wie daarin mag lezen en wat je eruit vertelt. Over deze informatie heb je controle. En die controle zijn we nu kwijt en dat is geen doemdenken, dat is een feit. Die controle zijn we al op vroege leeftijd kwijt, want we gebruiken webcams als babyfoon of een webcam op de crèche en iedere beweging van kinderen wordt daarmee steeds vaker geregistreerd.

Als ouder ken je ongetwijfeld dat moment, waarop je even om de hoek komt kijken terwijl je kind aan het spelen is, en je kind waant zich op dat moment onbespied. Dat is een prachtig moment en dan zie je zo’n individu, zo’n mens, in al zijn onschuld. Het duurt vaak maar heel even totdat het kind beseft dat er wordt gekeken en dan is het weg. Dat prachtige moment om onbespied te kunnen zijn is pure onschuld wat je dan ziet. Het gedrag dat wij hebben verandert als wij ons bewust zijn van de omgeving waarin wij ons bevinden. Straks kijkt de hele wereld mee als een kind verzonken is in het spel. Dat besef je misschien niet direct als kind, maar later als je ouder wordt wel. En de vraag is, wat doet die kennis met de ontwikkeling van het kind? Wat nou als die beelden van het schoolplein, waarop je huppelend alsof je op een paardje zit te zien was of shaggies rokend en hangend tegen de muur, nu zouden verschijnen op YouTube? Zou je erom lachen of je ervoor schamen? De oudere generatie zou het niet weten, want die beelden zijn er niet. Deze beelden zitten in ons geheugen op een hele mooie plek.

De jeugd heeft de toekomst helemaal niet, die toekomst wordt uit handen gegeven door ons. Als ouders en als opvoeders beslissen wij nu welke informatie over hun leven gedeeld wordt. Informatie die onuitwisbaar is, steeds op kan duiken, die verkeerde interpretaties teweeg kan brengen. Een fout in de interpretatie en je toekomst kan in duigen liggen. En ook dat is geen doemdenken, dat is een realistisch scenario. We hebben niet allemaal een vrije keuze om die beslissing te maken, vooral niet als we niet kunnen overzien wat de consequenties zijn om bijvoorbeeld een webcam te gebruiken. En als ouders hierover niet goed geïnformeerd zijn en hierover ook geen goed geïnformeerde keuzes kunnen maken.

En dan nog spreekt Arda wekelijks ouders die hun kinderen hebben meegegeven wat de risico’s van sexting zijn en dan nog hebben die kinderen dat gedaan. Dus zelfs bij geïnformeerde ouders, die hun kinderen zeer goed begeleiden hierin, zie je toch dat het mis kan gaan.

Wat deze digitalisering eigenlijk met ons doet, dat weten we eigenlijk niet. Het is een ontwikkeling die erg snel gaat en het is een ontwikkeling die het denken van de mens voorbijstreeft en daarbij geven we ook een stuk controle uit handen. De jeugd heeft de toekomst niet, die toekomst ligt bij ons. Wij vormen de toekomst en leggen de basis, dus moeten wij gaan nadenken over de mogelijke consequenties van onze keuzes. Alle scenario’s bezien, rust inbouwen, ethische dilemma’s afwegen en niet alles overlaten aan de markt. Wij kunnen ervoor zorgen dat kinderen controle houden over hun eigen leven, over hun gedachten, over hun spel, over hun misstappen en over hun successen. Daarmee kunnen ze in vrijheid leven en hun eigen keuzes maken. 

Iris Hoen – Wille Donker Advocaten

De nieuwe Algemene Verordening Gegevensbescherming (AVG) zit barstens vol ethiek, dat heeft Iris Hoen ook bepleit bij het recente symposium van de Nederlandse Vereniging voor Onderwijsrecht. De AVG bevat veel gecodificeerde ethiek uit mensenrechtenverdragen en OESO-rechtsbeginselen. Iris is de AVG daarmee ook steeds mooier gaan vinden. Ondanks alle mankementen die ongetwijfeld genoemd kunnen worden, zit die AVG nog niet zo gek in elkaar. Ze is het eens met de andere sprekers dat privacy meer is dan gegevensbeschermingsrecht, maar zonder gegevensbeschermingsrecht hebben we in deze gedigitaliseerde maatschappij in ieder geval geen privacy.

Het onderwijs heeft veel te maken met privacy en daarmee ook met de AVG. Iris werkt nu 15 jaar als privacyjurist en advocaat. Het onderwijs heeft te maken met complexe situaties, maar ze ziet dat de wil er is bij scholen om het goed te regelen. Daarbij assisteert ze ook honderden schoolbesturen bij het implementeren van de AVG, waarbij ook ethische vragen naar voren komen.

Wat lastig is voor scholen, is dat zij geen eilandje op zichzelf zijn, maar dat zij vastzitten aan een heleboel partners. Ze zitten verplicht in allerlei samenwerkingsverbanden en scholen moeten verplicht informatie opvragen en leveren aan de Onderwijsinspectie. Kortom: scholen zijn een spin in een web, waarbij zij volgens de wet allerlei gegevens moeten opvragen en delen.

Het begint al met de aanmelding van een kind op school. Op het aanmeldformulier staan allerlei vragen en scholen zijn nu wel kritisch hiernaar aan het kijken. Wat moet er wel op het formulier en wat kan eraf? Voorheen vroegen scholen alles waarvan ze dachten dat het ooit handig zou kunnen zijn. Nu zijn scholen hierop teruggekomen en denken: misschien hoeven we dat helemaal niet te vragen.

Waar de wet zegt dat de school ook informatie mag opvragen, zonder voorafgaande toestemming van ouders, bij voorschoolse educatie zoals peuterspeelzalen, dat mag. Dat moeten ze ook, want scholen zijn sinds 2014 verantwoordelijk gemaakt voor passend onderwijs. Als je dat afhankelijk maakt van de toestemming van ouders, dan houdt het al op, dan wordt het moeilijk voor een school om passend onderwijs aan te bieden. Dat betekent niet dat scholen zomaar kunnen ‘shoppen’ naar informatie: voor het opvragen van informatie bij andere instanties is nog steeds toestemming van de ouders nodig.

Scholen hebben een informatieverplichting aan ouders om te vertellen hoe ze ontvangen informatie verwerken. De AVG maakt een onderscheid tussen informatie die ze van ouders zelf krijgen en informatie van andere partijen. Scholen verwerken ook veel bijzondere persoonsgegevens, met name gezondheidsgegevens. Gezondheidsgegevens vormen een breed begrip onder de AVG en daaronder valt bijvoorbeeld ook IQ en medische aandoeningen, maar ook of een kind een bril draagt. En dat schrijft de school allemaal op, met betrekking tot de bril alleen al om bijvoorbeeld aan de gymleraar te kunnen laten weten dat een kind zonder bril moet oppassen met balspelen.

De leerlingprestaties moeten door de school worden opgeslagen, want de school moet een studentvolgsysteem hebben. Doet de school dat niet, dan komt er geen bekostiging. De AVG zegt in eerste instantie: het verwerken van bijzondere persoonsgegevens mag niet. Tenzij er toestemming is van de ouders of er een wettelijke uitzondering van toepassing is. De Uitvoeringswet van de AVG geeft twee uitzonderingen voor scholen en samenwerkingsverbanden om gezondheidsgegevens te verwerken met het oog op speciale begeleiding van kinderen. Maar wat houdt speciale begeleiding van leerlingen precies in? Het is voor scholen niet makkelijk om die afweging te maken: wat mag wel en wat mag niet? De AVG geeft daar dan ook niet direct antwoord op en is meer een open normenkader, waarbij scholen hun eigen afwegingen moeten maken en zich vooral moeten verantwoorden aan betrokkenen, de Autoriteit Persoonsgegevens, stakeholders en de medezeggenschapsraad. De medezeggenschapsraad heeft een instemmingsrecht op regelingen die de verwerking van persoonsgegevens betreffen. Dus moet de medezeggenschapsraad worden betrokken bij die afwegingen.

Als een school merkt dat er extra begeleiding nodig is, dan moet de school verplicht advies vragen aan deskundigen. Vroeger werd een leerlingendossier dan vaak even doorgemaild naar een samenwerkingsverband. Scholen hebben in toenemende mate software waarbij gegevens geanonimiseerd worden geüpload en een samenwerkingsverband het leerlingendossier weer anoniem kan downloaden. Scholen konden vroeger geen advies vragen zonder het BSN-nummer door te geven, ook al mocht dat officieel niet, want anders werkte het systeem niet. Scholen willen best wel en het is niet allemaal onwil, maar de systemen werken niet altijd mee. Overigens heeft dit wel de aandacht. Kennisnet (een kennisinstituut op het gebied van ICT en privacy voor de onderwijssector) zit bijvoorbeeld met al die leveranciers om tafel om die softwarepakketten aan te passen, zodat ze wel in lijn zijn met de AVG.

In advies aan scholen wordt aangegeven dat scholen moeten nadenken op basis van welke grondslag zij gegevens opvragen en verwerken en of ze hiervoor toestemming nodig hebben van ouders. En om werk te maken van de informatievoorziening en aan te geven waarom gegevens worden verwerkt, welke gegevens daarvoor worden gebruikt en of al die gegevens wel nodig zijn en of het niet een onsje minder kan. Daarnaast welke systemen er worden gebruikt en of die goed te beveiligen zijn. En met wie worden de gegevens gedeeld, kan het niet onder een pseudoniem? Ook door deze afwegingen in een reglement te verankeren en ouders hierover te informeren. Iris Hoen is ervan overtuigd dat als ouders goed geïnformeerd zijn, ze ook minder snel de neiging hebben om nee te zeggen, omdat het ook vaak in het belang van het kind is dat er een advies komt in hun ondersteuningsbehoefte.

Als een kind van school wisselt dan is de school verplicht om het onderwijsrapport mee te sturen. Daarnaast hebben ook toegang tot de leerlinggegevens: de leerplichtambtenaar, de GGD en de gemeente. Op basis van de wet mogen zij gegevens opvragen bij de school. Sinds augustus 2017 hoeft de GGD dat niet meer via de school op te vragen, maar krijgt die informatie rechtstreeks via DUO. De verplichtingen van de school om gegevens te delen staan in de sectorale onderwijswetten die tevens de bekostigingsvoorwaarden zijn. En dan zie je gelijk ook de klem waarin scholen zitten.

De psychologen en orthopedagogen werken in veel gevallen niet in dienst van de school en werken ook niet voor de school. Het zijn partners, en die zijn zelf verwerkingsverantwoordelijke onder de AVG. Dus het is ook niet de school die recht heeft op toegang tot die informatie, het is aan de ouder om te bepalen welke informatie er precies wordt gedeeld met scholen. Iris adviseert scholen dan ook om gebruik te maken van alleen de conclusies van de rapporten, want het is vaak niet nodig om het medisch dossier te hebben. Als een kind is gediagnosticeerd met ADHD, heb je genoeg aan de onderwijskundige aanbevelingen, daarvoor hoef je niet het gehele rapport te hebben. Met een pinda-allergie kan het anders zijn en dan is het wel verstandig dat die informatie beschikbaar is bij alle docenten.

Dit is een kort inkijkje in het werk van Iris Hoen, waarbij de scholen vaak aan haar vragen ‘wat mag ik’ en die zij beantwoordt met de wedervraag: "wat zou wijs zijn om te doen en ethisch om te doen. Neem dat als vertrekpunt en ga dan kijken of dat past binnen het wettelijk kader." Dat is een aanpak die aanslaat.

Een greep uit de vragen vanuit het publiek aan de gastsprekers:

Q: Vraag aan Iris Hoen: wordt een kind nog iets gevraagd en wanneer moet die zelf toestemming geven?
A: Een kind is minderjarig en valt daarmee onder het gezag van de ouders en die bepalen en zijn aanspreekpunt voor de school, niet het kind zelf, dat is het wettelijk stelsel. Als het kind 16 wordt, wordt het kind – en niet langer de ouder- toestemming gevraagd voor bepaalde gegevensverwerkingen. Het gaat om gegevensverwerkingen die alleen plaats mogen vinden met voorafgaande toestemming. Het is belangrijk om te onderkennen dat scholen niet voor alle gegevensverwerkingen aan ouders voorafgaande toestemming hoeven te vragen en dat dus ook niet gaan doen als hun kind 16 wordt. Arda Gerkens merkt hierbij op dat scholen vaak vanaf groep 8 kinderen zelf betrekken bij de ontwikkeling van het kind en ook betrekken bij oudergesprekken en dergelijke.

Q: Hoe zit het met leerlingvolgsystemen, is dat open source, waar staan die gegevens opgeslagen, etc.?
A: Iris Hoen geeft hierop het antwoord dat er verschillende soorten leerlingvolgsystemen zijn, waarvan de grootsten Magister en ParnasSys zijn. De servers van Magister staan in Groningen. Die gegevens blijven daar en gaan niet naar het buitenland. Scholen moeten meer vragen stellen dan enkel waar de servers staan, maar ook of de gegevensverwerkingen veilig plaatsvinden. Over het instellen van de toegang: Magister kent nog te weinig mogelijkheden om de software optimaal in te stellen. Zo moet verwijdering nog handmatig plaatsvinden. Ook de interne toegangsverlening zou volgens Iris Hoen beter kunnen.

Klik HIER voor de uitnodiging (pdf) die Privacy First voor dit evenement aan haar netwerk verzond. Wilt u voortaan ook een uitnodiging voor onze evenementen ontvangen? Stuur ons dan een bericht, dan zetten wij u op onze mailinglist! 

Stichting Privacy First nodigt u graag uit voor haar Nieuwjaarsborrel! Deze zal plaatsvinden op woensdagavond 17 januari as. op onze kantoorlocatie in Amsterdam. De avond zal grotendeels in het teken staan van een thema dat Privacy First steeds meer zorgen baart: de privacy van onze kinderen in een wereld die steeds verder digitaliseert, met name in het onderwijs. Hoe kunnen kinderen zich nog vrij en veilig ontwikkelen in een leeromgeving waar alles over hen digitaal wordt opgeslagen en kan worden uitgewisseld? Welke gegevensverwerkingen vinden in het onderwijs plaats, welke risico’s kleven hieraan en welke maatregelen kunnen worden getroffen om de privacy van leerlingen te waarborgen?

Na de Nieuwjaarsspeech door Privacy First voorzitter Bas Filippini zullen Arda Gerkens (Eerste Kamer), Huib Gardeniers (Net2Legal), Iris Hoen (Wille Donker Advocaten) en Simone van Dijk (Privacy First) hun licht over deze kwesties laten schijnen. Hierna is er ruimte voor discussie onderling en met het publiek, gevolgd door een borrel waar wij samen kunnen proosten op een privacyvriendelijk 2018!

Iedereen is welkom, toegang is gratis. Donaties aan Privacy First worden echter zeer op prijs gesteld. Aanmelden kan via Dit e-mailadres wordt beveiligd tegen spambots. JavaScript dient ingeschakeld te zijn om het te bekijken., maar is niet verplicht.

Datum: woensdag 17 januari 2018, 19.30-22.00u (inloop vanaf 19.00u).
Locatie: Volkshotel, Wibautstraat 150 te Amsterdam (Betonnen Zaal, begane grond).
Een routebeschrijving vindt u op www.volkshotel.nl/nl/#locatie.

Klik HIER voor de uitnodiging zoals Privacy First die onlangs aan haar netwerk verzond (pdf). Wilt u voortaan directe uitnodigingen voor onze evenementen ontvangen? Mail ons! Dan voegen wij u toe aan onze mailinglist.

Privacy First heeft met interesse het nieuwe regeerakkoord gelezen. Enerzijds is Privacy First verheugd om te kunnen constateren dat er aandacht is voor privacy en dat er privacybevorderende maatregelen worden getroffen. Anderzijds zijn er helaas ook veel maatregelen die de privacy beperken of de privacy raken. Wij hebben hiervan onderstaand overzicht gemaakt. Privacy First zal de verdere ontwikkelingen hieromtrent actief op de voet volgen en positief trachten te beïnvloeden.

1. Privacybevorderende maatregelen

Veiligheid

• Standaarden voor Internet-of-Things apparaten.

• Het stimuleren van bedrijven om veiliger software te maken via software-aansprakelijkheid.

• Voorlichtingscampagnes op het gebied van cyberhygiëne.

Berechting, straffen en maatregelen

• Inzet op het beschermen van privacy van burgers onderling (horizontale privacy).

  • Het verspreiden van wraakporno wordt als zelfstandig delict strafbaar gesteld.

Vernieuwing openbaar bestuur en ICT-dienstverlening

• Ter bevordering van de privacy wordt de eigen regie op persoonsgegevens vergroot. Gebruikers van overheidsdiensten krijgen de mogelijkheid zelf relevante instanties en organisaties aan te wijzen waaraan een beperkt aantal persoonsgegevens automatisch kan worden verstrekt.

  • Wie nu geregistreerd staat kan kiezen voor een opt-out.

  • Nieuwe inschrijvingen vallen onder de nieuwe regels.

Emancipatie en LHBTI

• Onnodige geslachtsregistratie wordt waar mogelijk beperkt.

2. Privacybeperkende maatregelen

Veiligheid

• Aankoop van hacksoftware door opsporingsdiensten.

• Repressieve maatregelen i.h.k.v. terrorismebestrijding.

• DNA-onderzoek bij verdenking van een terroristisch misdrijf.

Vernieuwing openbaar bestuur en ICT-dienstverlening

• De Basisregistratie Personen (BRP) wordt gemoderniseerd en zal de e-mailadressen van burgers bevatten.

  • Gegevens van burgers in basisadministraties en andere privacygevoelige informatie wordt altijd versleuteld opgeslagen.

  • DigiD wordt veiliger gemaakt.

Arbeid: Handhaving en internationale afspraken als randvoorwaarden voor een werkend stelsel.

• Misbruik van sociale voorzieningen ondermijnt het draagvlak voor solidariteit. Het kabinet vindt het van belang dat uitvoerders, waaronder gemeenten, effectief gebruik maken van de mogelijkheden tot het delen, koppelen en analyseren van data, uiteraard met inachtneming van de geldende wettelijke regels en waarborgen. Dit kan ook uitkeringsgerechtigden helpen om regels na te leven en fouten te voorkomen. 

Personenvervoer

• Bij ontwerp, aanleg en onderhoud van infrastructuur wordt rekening gehouden met zelfrijdende voertuigen en benodigde systemen in of langs de weg. Overheidsinformatie over verkeer wordt zoveel mogelijk via open data beschikbaar gesteld voor voertuigen, apps en reisplanners. Om ieders privacy te waarborgen worden er spelregels vastgelegd over de eigendom en het gebruik van reisdata.

3. Maatregelen die de privacy (kunnen) raken

Veiligheid

• ‘Belofte’ dat er i.h.k.v. de nieuwe Wiv geen sprake zal zijn van willekeurige en massale verzameling van gegevens van burgers. 

  • Strikt de hand houden aan extra waarborgen in de wet.

  • Evaluatie zal vervroegd worden uitgevoerd, na twee jaar van invoering.

  • Eventuele extra waarborgen in de wet opnemen en het toezicht versterken.

Berechting, straffen en maatregelen

• Wetsvoorstel Aanpassing bewaarplicht telecommunicatiegegevens wordt heroverwogen.

  • Kabinet verkent in hoeverre het Europees recht ruimte biedt voor een afgewogen bewaarplicht voor bepaalde telecommunicatiegegevens, in het bijzonder voor gegevens die strekken tot identificatie van de gebruiker van een communicatiedienst.

  • Aandacht naar waarborgen voor de persoonlijke levenssfeer van burgers, beperkte toegang, aangescherpt toezicht, noodzakelijkheid van bewaartermijnen, adequate bescherming en beveiliging van gegevens en een rapportage- en evaluatieplicht.

  • Alle nieuwe wetgeving waarin gegevensbewaring wordt geregeld ten behoeve van de opsporing van ernstige strafbare feiten zal worden voorzien van passende waarborgen.

  • Evaluatie na vijf jaar -> effectiviteit en impact van de wetgeving.

Een sterke docent

• Het lerarenregister.

Goede zorg voor ouderen

• Om de schaarse capaciteit aan zorgpersoneel optimaal te benutten voor zorg en aandacht voor cliënten en patiënten, is het wenselijk digitaal ondersteunde zorg gericht in te zetten en de verspreiding van innovatieve werkwijzen (e-health) te bevorderen, zowel thuis als in het verpleeghuis. Deze kabinetsperiode is hiervoor 40 miljoen euro beschikbaar, daarna 5 miljoen per jaar. 

Ruimte voor ondernemers

• De mogelijkheden voor regionale en sectorale proefprojecten, wettelijke experimenteerruimte, testlocaties (bijvoorbeeld voor drones) en regelvrije zones worden vergroot. Daarbij gelden minimumvereisten en passend toezicht. 

Kredieten en bankensector

• Financiële technologische innovaties (Fintech) dragen bij aan innovatie en concurrentie in de financiële sector. De toetreding van deze innovatieve bedrijven wordt vereenvoudigd door invoering van een bank- en overige vergunning in lichtere vorm, met inachtneming van voldoende bescherming van de klanten. 

Luchtvaart

• De groei van het aantal passagiers op Schiphol vraagt om een efficiënter proces van grenscontroles. Er wordt daarom geïnvesteerd in de capaciteit van de Koninklijke Marechaussee en verdere digitalisering van paspoortcontroles. 

Op 19 januari 2017 organiseerde Stichting Privacy First op haar kantoorlocatie in het Amsterdamse Volkshotel haar jaarlijkse Nieuwjaarsborrel annex debatavond, klik HIER voor de uitnodiging en openbare aankondiging vooraf. Dit evenement stond ditmaal grotendeels in het teken van de ‘Shared Democracy’: na Athene (democratie 1.0) en onze huidige 19e-eeuwse parlementaire democratie (2.0) is het in de optiek van Privacy First hoog tijd voor verdere vernieuwing en meer burgerparticipatie: Shared Democracy, democratie 3.0! In zijn Nieuwjaarstoespraak gaf Privacy First voorzitter Bas Filippini hierop onze visie:

Shared Democracy

“Privacy First staat voor eigen keuzes in een vrije omgeving. Wij werken daarbij vanuit de klassieke principes van een democratische rechtsstaat en internationale verdragen. Dat doen wij onder meer door het voeren van rechtszaken, waaronder onze lopende zaken tegen kentekenparkeren en voor het recht op anonieme, contante betaling. Daarnaast zijn nieuwe zaken tegen automatische nummerplaatherkenning (ANPR) en het Systeem Risico Indicatie (SyRI) in de maak. We werken daarin samen met andere organisaties en advocatenkantoren. Naast onze rechtszaken voeren we voortdurend stille diplomatie richting alle relevante partijen.

Privacy staat nationaal en internationaal nog steeds onder druk en komt steeds meer onder druk te staan. Er is de laatste 15 jaar sprake van steeds minder vrijheid in plaats van meer vrijheid, zowel qua mobiliteit als in de financiële en medische sfeer. Onze conclusie na zeven jaar rechtszaken voeren is dat de huidige rechtsstaat onder druk staat en zich moeilijk kan verdedigen tegen erosie van binnenuit. Rechters hebben vaak moeite met principiële rechtszaken: ze durven het fundamentele privacyprobleem niet aan te pakken en willen zich enkel uitspreken over randzaken.

Onze huidige parlementaire democratie is nodig aan vernieuwing toe. Na de democratie 1.0 uit het oude Athene en onze huidige democratie 2.0 uit de 19e eeuw is het tijd voor een nieuw model: democratie 3.0. In die nieuwe democratie zou veel meer rekening gehouden moeten worden met moderne ontwikkelingen die onze democratie dreigen te ondermijnen. Privacy First wil graag naar een Shared Democracy 3.0 waarin de krachten die onze huidige democratie bedreigen juist ingezet kunnen worden voor een nieuwe, duurzame en democratische samenleving. Zo is er de veranderende rol van de media als vierde macht, waaronder social media en alternatieve media, die bepalen wat “het nieuws” is en wat “wel en niet waar” is. Daarnaast de veranderende rol van de burger: hoe zou je de burger meer kunnen betrekken bij burgerparticipatie en meer verantwoordelijkheden kunnen geven? En hoe kan je nieuwe technologie inzetten? Denk bijvoorbeeld aan elektronische platformen en blockchain technologie. Zoals de industriële revolutie milieuvervuiling veroorzaakte, zo veroorzaakt de informatierevolutie vrijheidsvervuiling en privacyvervuiling. Hoe kunnen we 'privacy by design' zo inzetten dat dit de democratie versterkt?

De macht van de overheid tegenover de burger is niet meer proportioneel. Er moet dus een machtsverdeling gaan plaatsvinden door onder andere meer burgerparticipatie. Hierdoor zal ook de overheid dichter bij de burger komen te staan, zowel op nationaal als op Europees niveau.

Op een vrij en privacyvriendelijk 2017!”

‘Hoeveel vrijheid gaan wij nog inleveren voor onze veiligheid? 100% veiligheid = 0% vrijheid’  Bas Filippini

Vervolgens hield ICT-onderzoeker Brenno de Winter een even boeiende als vermakelijke presentatie over actuele problemen rondom privacy, informatiebeveiliging en de huidige kloof tussen burger en bestuur:

Digitale stormvloed

“We zijn zo goed in digitaliseren geworden, dat we niet meer hoeven te werken. We checken zelf onze koffers in, kunnen binnenkort ook een winkel binnenlopen en inchecken, onze artikelen pakken, weer de winkel uitlopen en automatisch betaald hebben, een zelfrijdende taxi nemen, etcetera. Dat is een economische maatregel, met als groot voordeel dat we geen personeel meer nodig hebben. Het industriële tijdperk is voorbij. Wij zijn niet meer nodig. Waarom is dat zo bedreigend? Ik moet wel aan het eind van de maand de hypotheek kunnen betalen...

De Titanic had een paar eigenschappen die onze software-industrie ook heeft. De eerste eigenschap is dat we standaard een niveau proberen te creëren van een bepaalde veiligheid. En hoe meer veiligheidsmaatregelen je neemt (zoals sloepen aan een boot), hoe onzekerder mensen worden over de veiligheid. Daarnaast was er de keuze tussen een reddingsvest of een sloep, maar mensen met een reddingsvest stapten alsnog in een sloep, en als laatste kunnen we om hulp roepen als het mis gaat, maar dan hopen we wel gehoord te worden. We zijn op zoek naar een 'safety of life at sea', maar dan met data. We zullen moeten leren van de incidenten die we in het verleden hebben meegemaakt.

We zijn in de informatiemaatschappij nog heel erg onvolwassen. Bij data zijn er een heleboel risico’s die we niet kunnen voorzien. Gelukkig gaan er een heleboel dingen goed, zoals dat we veel ervaring hebben met de meldplicht van datalekken. Maar een van de dingen die veel gebeuren is dat er veel persoonsgegevens door een wasstraat worden gehaald, zodat het geen persoonsgegevens meer zijn. Die worden vervolgens doorgestuurd naar bijvoorbeeld Amerika en dan weer gekoppeld met gegevens uit Big Data, waardoor het wel weer persoonsgegevens zijn.

Het wordt tijd dat we dingen anders gaan benaderen. Waarom zien we onze persoonsgegevens niet meer als ons eigendom? Wanneer we persoonsgegevens (weer) als eigendom gaan zien, dan zullen we ook eisen dat indien we het uit handen geven, onze data goed beveiligd wordt. Als Google geld verdient aan mijn gegevens, dan hoor ik een businesspartner van ze te zijn. Daarnaast is de discussie veiligheid versus privacy een oneerlijke discussie. We weten namelijk niet wat er tegenover staat wanneer ik mijn privacy inlever. Het gaat er niet om of je wel of niet iets te verbergen hebt. Het gaat erom hoe jij omgaat met wat van jou is. Wanneer privacy wordt geschonden, dan worden meestal de andere mensenrechten in het kielzog meegenomen.”

Vervolgens was er een uitgebreid debat met het publiek (de opkomst overtrof de zaalcapaciteit), gevolgd door een gezellige borrel waar wij samen konden proosten op een privacyvriendelijk 2017.

Wilt u voortaan ook een uitnodiging voor onze evenementen ontvangen? Meld u dan aan voor onze mailinglist! Bent u al donateur van Privacy First? Hoe meer donaties Privacy First ontvangt, hoe meer van deze evenementen Privacy First zal kunnen organiseren en hoe sneller Nederland zich zal kunnen ontwikkelen tot Privacy Gidsland.