Toon items op tag: Solutions

Nederlandse Privacy Awards

Op 28 januari as. (de Europese Dag van de Privacy) worden tijdens de Nationale Privacy Conferentie van ECP en Privacy First de jaarlijkse Nederlandse Privacy Awards uitgereikt. Deze Awards bieden een podium aan bedrijven en overheden die privacy zien als een kans om zich positief te onderscheiden en privacyvriendelijk ondernemen en innoveren tot norm te maken.

Genomineerden

Dit jaar hebben bijna 20 deelnemers zich aangemeld, met een groot aantal hoogwaardige inzendingen. Uit deze inzendingen heeft de onafhankelijke vakjury de volgende genomineerden per categorie bepaald:

Consumentenoplossingen

Private Search 2.0: eind 2018 heeft het Nederlandse bedrijf Startpage.com een nieuwe versie geïntroduceerd van haar privacyvriendelijke zoekmachine, met daarin een Anonymous View-functie. Hiermee kan de gebruiker een website bekijken zonder de privacyvriendelijke Startpage.com-omgeving te verlaten. De nieuwe Startpage.com website biedt privacybewuste internetters daarmee een belangrijke, en bovendien zeer gebruiksvriendelijke mogelijkheid om websites te bekijken zonder zich voortdurend zorgen te hoeven maken over ongewenste profilering en toekomstige confrontatie met hun zoekgedrag.

VraagApp is een app die kwetsbare burgers de mogelijkheid biedt om vragen te stellen aan vrijwilligers over praktische problemen die ze in het dagelijks leven tegenkomen. Deze app is genomineerd omdat het een excellent voorbeeld is hoe gebruikers “echt” te informeren. Niet louter een afvink-mentaliteit, maar privacy doordenken in alle lagen van de organisatie én de technologie. Privacy wordt hier niet gezien als een hindernis maar als een noodzakelijke voorwaarde om de dienst te laten functioneren. Door privacy in zowel het ontwerp als gebruik centraal te zetten, wordt het mogelijk een kwetsbare doelgroep op een veilige en vertrouwensvolle manier toegang te bieden tot de informatiemaatschappij en zo bij te dragen aan hun zelfstandigheid.

Schluss is met recht dé doorzetter, want nu voor de tweede keer genomineerd. Schluss heeft als missie dat iedereen de baas wordt over zijn of haar gegevens op internet en zo zelf kan bepalen wie wat van hen mag weten. Meer zeggenschap van gebruikers over hun eigen gegevens is een belangrijk goed en Schluss draagt bij aan maatschappelijke bewustwording omtrent privacyrechten van burgers. Schluss heeft daarbij inmiddels een duidelijke nuance in de omvang van het gebruik van haar toepassing aangebracht en faciliteert nu per ‘use case’ privacyvriendelijke gegevensuitwisseling.

Bedrijfsoplossingen

Privacy op Schooltas is een privacy-bewustwordingstool voor leerkrachten. Aan de hand van ‘escaperoom-achtige’ opdrachten maken leraren op een speelse en spannende manier kennis met zaken die mis kunnen gaan op het gebied van informatiebeveiliging en privacy van leerlingdata, zoals fouten in leerlingdossiers, datalekken en agenda’s met inloggegevens. Deze tool is genomineerd omdat het op een innovatieve wijze werkt aan bewustwording op de werkvloer. Het speelse element versterkt de kennisoverdracht en zet aan tot gesprek met collega’s over hoe in de dagelijkse praktijk privacybescherming vorm te geven.

Privacy Designer: MKB-bedrijven zijn de motor van de Nederlandse economie en dienen ook te voldoen aan de AVG. De gratis app/website Privacy Designer van Privacy Company en SURF helpt hen om snel en eenvoudig inzichtelijk te krijgen welke maatregelen genomen moeten worden.

Overheidsdiensten

Passantentellingen is een nieuw privacyvriendelijk concept dat de gemeente Nijmegen als eerste in Nederland in haar binnenstad gaat toepassen. Met camera’s worden ‘on the flight’ personen en looppatronen anoniem geregistreerd. Puntjes en streepjes zijn het resultaat.

Project privacy by design: de Belastingdienst werkt datagedreven en wil dat goed doen. Bij de afdeling Datafundamenten & Analytics van de Belastingdienst is nu een project gaande om privacy by design binnen de organisatiestructuur in te bedden. Onderdeel daarvan is het pseudonimiseren van alle data. Bepaald geen sinecure.

Tevens zal de vakjury op eigen initiatief een speciale Aanmoedigingsprijs uitreiken.

Jury Nederlandse Privacy Awards

De jury van de Awards bestaat uit onafhankelijke privacy-experts uit diverse sectoren:

• Bart van der Sloot, senior researcher, Universiteit Tilburg (jury-voorzitter)
• Bas Filippini, oprichter en voorzitter Privacy First
• Paul Korremans, data protection & security professional, Comfort Information Architects (tevens bestuurslid Privacy First)
• Marie-José Bonthuis, eigenaar IT’s Privacy
• Esther Janssen, advocaat Informatierecht en grondrechten, bureau Brandeis
• Esther Keymolen, techniekfilosoof, TILT, Universiteit Tilburg
• Matthijs Koot, senior security specialist, Secura BV
• Marc van Lieshout, senior onderzoeker TNO en zakelijk directeur PI.lab
• Wendeline Sjouwerman, privacy specialist lokale overheden en zorg.

 
Uitreiking Awards

Tijdens de Nationale Privacy Conferentie op maandag 28 januari 2019 in Nieuwspoort (Den Haag) worden de zeven genomineerde projecten door de inzenders aan het publiek gepresenteerd. De vakjury reikt vervolgens de Nederlandse Privacy Awards 2019 uit.

Privacy First organiseert de Nederlandse Privacy Awards met steun van Stichting Democratie & Media, in samenwerking met ECP. Klik HIER voor een impressie van de Nederlandse Privacy Awards 2018. Wilt u graag partner of sponsor van de Nederlandse Privacy Awards worden? Neem dan contact op met Privacy First!

Nieuwe Europese wetgeving PSD2 in werking 

Vanaf begin 2019 wordt in Nederland PSD2 van kracht (Payment Service Directive 2). Met deze nieuwe Europese bankenwet kunnen consumenten hun bankgegevens delen met andere partijen dan hun eigen bank. Hiervoor moet de consument eerst uitdrukkelijke toestemming geven. Hierna moet de bank alle transactiedata[1] van de consument (rekeninghouder) met een externe partij (financiële dienstverlener) delen voor een periode van 90 dagen, waarna de consument zijn toestemming kan vernieuwen. Tevens kan de consument zijn toestemming op ieder moment intrekken.

PSD2 baart Privacy First grote zorgen

Privacy First heeft grote zorgen rond PSD2. De wet is teveel gericht op het verbeteren van mededinging en innovatie en het privacybelang van de rekeninghouders is uit het oog verloren. De grootste bezwaren van Privacy First zijn:

• Consumenten kunnen de hoeveelheid bankgegevens niet beperken. Zelfs als een financiële dienstverlener deze gegevens niet nodig heeft, wordt na het geven van toestemming toch alle data gedeeld.
• In de bankgegevens van een consument staan ook de gegevens van andermans tegenrekening. Deze persoon weet niet dat zijn gegevens gedeeld worden en kan dit ook niet verhinderen. Doordat de transactiedata via Big Data en data-analyses veel breder geanalyseerd zullen worden dan voor de inwerkingtreding van PSD2 ontstaan grote risico's op privacyschendingen.
• Bankgegevens bevatten “bijzondere persoonsgegevens” die alleen onder strikte voorwaarden verwerkt mogen worden.[2] Een contributiebetaling aan een vakbond, politieke partij of organisatie die seksuele voorkeur onthult, moet volgens Privacy First gezien worden als bijzonder (gevoelig) persoonsgegeven. Ook transacties met zorgverleners en apotheken moeten als bijzondere persoonsgegevens worden gezien. Op dit moment bestaat geen mogelijkheid deze gegevens te filteren en worden ze verstrekt aan partijen die deze gegevens niet mogen verwerken.

Tijdens de uitzending van AVROTROS Radar van maandagavond 7 januari 2019 vroeg Privacy First nadrukkelijk aandacht voor deze zaken.

PSD2-keurmerk voor transparantie

Privacy First wil dat consumenten eerlijk en transparant geïnformeerd worden over wat er met hun gegevens gebeurt. In plaats van lange privacy-statements pleit Privacy First voor onafhankelijke informatie op één A4, waarbij door consumenten vastgestelde informatie wordt geboden. Consumenten kunnen immers zelf het beste bepalen welke informatie zij waardevol vinden bij het maken van een keuze. Gedurende 2018 werkte Privacy First aan dit initiatief samen met de Volksbank en andere partners uit de financiële sector.

PSD2-me-niet-register

Privacy First is verbaasd dat er geen aandacht is geweest voor de rol van “bijzondere persoonsgegevens” in transactiedata. Deze gegevens mogen alleen onder strikte voorwaarden gedeeld worden en moeten dus gefilterd kunnen worden. Ook consumenten die niet willen dat hun gegevens door anderen worden gedeeld met financiële dienstverleners moeten de mogelijkheid krijgen dit te voorkomen. Daarom wil Privacy First een opt-out register voor PSD2, vergelijkbaar met het bel-me-niet-register. Tijdens de uitzending van Radar kondigde Privacy First aan het initiatief voor dit voorstel te nemen, waarbij wij ernaar streven dit met de financiële sector en politiek verder te ontwikkelen. Het doel daarbij is dat het gebruik van een opt-out register verplicht wordt gesteld. De Europese PSD2-richtlijn zal hiervoor aangepast moeten worden.

[1] Aanvullende informatie: het gaat om alle transactiedata. Hoe ver deze gegevens terug gaan verschilt per bank. Zie het overzicht van de Consumentenbond: Meerderheid bewaart rekeningafschriften ten minste 5 jaar https://www.consumentenbond.nl/betaalrekening/meerderheid-bewaart-rekeningafschriften-ten-minste-5-jaar.

[2] Aanvullende informatie: dit is opgenomen in artikel 9 AVG en art. 22 UAVG. Kortgezegd is de verwerking van bijzondere persoonsgegevens verboden, tenzij. Zie https://wetten.overheid.nl/BWBR0040940/2018-05-25.

Op 28 januari 2019 (de Europese Dag van de Privacy) worden door Stichting Privacy First de jaarlijkse Nederlandse Privacy Awards uitgereikt.

Er zijn 4 categorieën waarvoor inschrijvingen genomineerd kunnen worden:

1. categorie Consumentenoplossingen (van bedrijven voor consumenten)

2. categorie Bedrijfsoplossingen (binnen een bedrijf of business-to-business)

3. categorie Overheidsdiensten (van de overheid voor burgers)

4. Aanmoedigingsprijs voor een baanbrekende technologie of persoon.

“De Privacy Award is de belangrijkste prijs in Nederland voor organisaties en bedrijven die op een positieve manier met privacy willen omgaan. Privacy als kans in plaats van obstakel. Dit jaar zal de jury extra nadruk leggen op het feit dat privacy meer moet zijn dan informed-consent en de controle geven aan de burger. Veel meer zelfs”, aldus Bart van der Sloot, voorzitter van de onafhankelijke jury.

Voorwaarden voor deelname

Voorwaarde voor deelname is dat u reeds met uw privacy-innovatie aan de slag bent. U bent de ideefase voorbij en kunt al iets van het project in uitvoering laten zien. U zorgt met uw project voor inspiratie bij andere organisaties waardoor privacy niet wordt gezien als een belemmering, maar als een kans!

De eerste selectie bestaat uit een screening waarop met de volgende zaken wordt omgegaan:

a) Het hebben van een privacy verantwoordelijke (FG, PO) in de organisatie

b) Toepassen van een privacy policy

c) Toepassen van risico analyse(s)

d) Privacy awareness in de organisatie

e) Een inzichtelijk privacybeleid en communicatie hiervan.

Vervolgens worden de deelnemers die genomineerd worden, gescreend op zaken als:

f) Innovatief vermogen: het product, proces of dienst biedt een noviteit op privacygebied en heeft zich in de markt nog niet technisch en/of commercieel bewezen;

g) Maatschappelijke impact: de innovatie levert een bijdrage aan privacy en komt de bescherming van persoonsgegevens en het individu ten goede;

h) Focus: het product, proces of dienst levert in grote mate toegevoegde waarde aan de markt/consument;

i) Zelfredzaamheid: het product, proces of dienst is binnen een reële termijn (ca 3 jaar) economisch realiseerbaar. Er is een businessmodel.

Daarnaast bestaat de mogelijkheid dat de jury (vertrouwelijk) een aangekondigd bedrijfsbezoek aan de genomineerde zal brengen.

Bepalen van de genomineerden

Organisaties kunnen zich t/m zondag 14 oktober 2018 aanmelden voor de Awards door een email met korte toelichting over het betreffende Privacy Project en antwoord op bovengenoemde punten a) t/m i) te sturen naar Privacy First via Dit e-mailadres wordt beveiligd tegen spambots. JavaScript dient ingeschakeld te zijn om het te bekijken.. Uiterlijk begin december 2018 hoort u of u tot de genomineerden behoort. Indien u genomineerd wordt ontvangt u van Privacy First een uitnodiging om een korte pitch tijdens de Awards-uitreiking voor te bereiden.

Voorschriften pitch

● Maximaal 3 minuten

● U gebruikt een Powerpoint presentatie (maximaal 3 sheets)

● De presentatie bevat in ieder geval de volgende onderdelen:

   o Organisatienaam

   o Privacy project omschrijving

   o Doel en behaalde resultaten.

Jury

De jury bestaat uit onafhankelijke privacy-experts uit diverse sectoren:

> Bart van der Sloot, senior researcher, Universiteit Tilburg (jury-voorzitter)
> Bas Filippini, oprichter en voorzitter Privacy First
> Paul Korremans, data protection & security professional, Comfort Information Architects 
   (tevens bestuurslid Privacy First)
> Marie-José Bonthuis, eigenaar IT’s Privacy
> Esther Janssen, advocaat Informatierecht en grondrechten, bureau Brandeis
> Esther Keymolen, techniekfilosoof, TILT, Universiteit Tilburg
> Matthijs Koot, senior security specialist, Secura BV
> Marc van Lieshout, senior onderzoeker TNO en zakelijk directeur PI.lab
> Wendeline Sjouwerman, privacy specialist lokale overheden en zorg.

Om te garanderen dat de verkiezing van de Awards objectief verloopt, is het niet toegestaan dat de jury een deelname beoordeelt van de eigen organisatie.

Privacy First organiseert de Nederlandse Privacy Awards met steun van Stichting Democratie & Media, in samenwerking met ECP. Klik HIER voor een impressie van de Nederlandse Privacy Awards 2018. Wilt u graag partner of sponsor van de Nederlandse Privacy Awards worden? Neem dan contact op met Privacy First!

Hierbij publiceert Stichting Privacy First graag haar jaarverslag 2017: klik HIER om de pdf-versie te downloaden. In ons jaarverslag leest u alles over onze voornaamste activiteiten in 2017, waaronder onze rechtszaken, onze lobby en onze publieksevenementen. Bij dit jaarverslag hoort tevens onze jaarrekening 2017 (pdf). Ondanks het vernieuwde Europese privacyrecht (Algemene Verordening Gegevensbescherming, AVG) staat het recht op privacy in Nederland anno 2018 onder grotere druk dan ooit. Een krachtige organisatie als Privacy First blijft daarom cruciaal en uw steun als donateur is daarbij onmisbaar. Klik HIER om donateur van Privacy First te worden!

"Enkele Nederlandse banken en fintechs werken samen met Stichting Privacy First aan een PSD2-keurmerk. Daarmee willen de bedrijven aan consumenten duidelijk maken wie ze hun data kunnen toevertrouwen. De Volksbank schaart zich als een van de eersten achter het initiatief. Op welke behoefte spelen de betrokkenen in?

De Europese betaalrichtlijn PSD2 levert behalve innovatie ook privacyzorgen op. De in januari in werking getreden richtlijn – Nederland volgt waarschijnlijk deze zomer met eigen wetgeving – zorgt ervoor dat consumenten bedrijven toegang kunnen geven tot hun bankrekening en (financiële) data. De vraag is echter of zij doorhebben privacygevoelige gegevens te delen. Eenmaal gedeeld kunnen banken die data bovendien niet meer ‘terughalen’.

Behalve een voordeel kleeft er dus ook een reëel risico aan PSD2, stelt Privacy First. Samen met enkele Nederlandse banken en fintech-bedrijven werkt de belangenorganisatie daarom aan een keurmerk. De partijen reageren daarmee op een uitspraak van De Nederlandsche Bank. Die zou eerder hebben vastgesteld dat hier behoefte aan is. Terwijl de AVG, de nieuwe Europese privacywet, moet zorgen voor betere bescherming zet PSD2 de achterdeur open, legt Martijn van der Veen van Privacy First uit.

Hoe zien jullie PSD2 vanuit privacy-oogpunt?

Van der Veen: “Het onderwerp privacy is binnen PSD2 veel te lang onderbelicht gebleven. Lang was PSD2 vooral een feestje voor fintechs en gericht op het innoveren van het betalingsverkeer.

“Met PSD2 kunnen partijen onder meer inzage krijgen in je transactiegegevens, bijvoorbeeld voor het krijgen van inzicht over meerdere bankrekeningen heen. Een bank mag die transactiedata niet zomaar verstrekken, daarvoor moet een consument ‘uitdrukkelijke toestemming’ geven. Dat is niet eventjes een vinkje zetten. De persoon moet ‘vrije, specifieke en geïnformeerde’ toestemming geven. Op papier is het dan prima geregeld. Maar de impact van PSD2 op de privacy kan veel groter zijn dan de vraag of iemands toestemming is geregistreerd.

“Onze grootste zorg is wat er gebeurt met de gegevens zodra die bij een dienstverlener liggen. Wat doen die ermee? Denk maar niet dat diensten beperkt blijven tot het tonen van transactiegegevens, bedrijven willen iets doen met die grote hoeveelheid gegevens die in hun bezit komt. Denk aan het doen van aanbiedingen, nieuwe diensten en vergelijkingen. Daarvoor willen ze gegevens koppelen, relateren en zoeken naar patronen. En uiteraard zit daar ook een verdienmodel aan vast.

“Een verkeerde framing is dat het ‘maar’ transactiegegevens zijn. Je kunt er ontzettend veel uit afleiden over iemands leven. Als je bij een bank drie jaar terug kan kijken, dan ontvangt de aanbieder ook direct drie jaar aan transactiedata. Aan rekeningnummers kan je aflezen of iemand vaak medische ondersteuning gebruikt, waar een persoon vaak komt en wat iemands leefpatroon is. Uit terugkerende overboekingen leid je af of iemand lid is van een religieuze organisatie of vakbond. Dat zijn gegevens die met goede redenen niet gebruikt mogen worden.

“Het gekke is, waar iedereen vanwege de AVG zijn best doet om zijn privacybescherming op orde te krijgen zet PSD2 de achterdeur wagenwijd open.”

Maar waarom is een keurmerk nodig?

“Het Privacy Keurmerk PSD2 moet consumenten helpen bij hun keuze voor een aanbieder. Het geeft informatie over of de aanbieder goed met de persoonlijke gegevens om zal gaan en te vertrouwen is. Daarbij willen we de open normen van de wet inkleuren. Nu bepaalt een aanbieder wat een fatsoenlijke bewaartermijn van gegevens is. En hoe snel hij reageert op klachten. Het is maar de vraag of het belang van de consument dan voorop staat. Het keurmerk informeert consumenten en stimuleert aanbieders om het niveau van privacybescherming te verhogen. Voor beide partijen is dat waardevol omdat dit het vertrouwen in een dienstverlener verhoogt.” (...)

Lees verder bij Emerce.

Tijdens een persbijeenkomst over PSD2 is het Privacy keurmerk PSD2-initiatief gepresenteerd. Met het keurmerk moeten financiële aanbieders en fintechs worden gestimuleerd om de privacy van consumenten centraal te stellen.

Volksbank

Als je de eindjes met moeite aan elkaar kunt knopen, krijg je op den duur lichamelijke klachten, aldus twee Utrechtse huisartsen in het AD/Utrechts Nieuwsblad van 7 maart jl. Wie een gezond leven wil, moet daarom ook financieel gezond zijn. Grip hebben op je eigen financiën en alle gegevens die daarbij horen, past daarbij. Op beide gebieden biedt de Volksbank graag een helpende hand.

De nieuwe PSD2-wetgeving maakt de weg vrij voor betaalapps van nieuwe partijen. Banken hebben niet langer het alleenrecht op het aanbieden van betaaldiensten. Dat lijkt goed nieuws voor de consument. Maar er is ook een keerzijde. Een klant die zijn data deelt met zo’n nieuwe aanbieder moet er rekening mee houden dat hij privacygevoelige gegevens deelt. De bank kan deze gegevens niet meer terughalen, dus de consument staat er alleen voor als hij spijt heeft.

De Consumentenbond waarschuwde recentelijk dat er nu al uit commerciële motieven op grote schaal persoonlijke data worden verzameld. Met PSD2 gaat dit alleen maar toenemen. Uiteindelijk is 90 dagen toegang voldoende om een digitaal profiel op te stellen dat verhandeld kan worden. De Volksbank wil dat niet en vindt dat de data van de klant bij de bank veilig moet zijn: "Dat betekent dat we geen data van klanten verkopen, zowel op individueel als geaggregeerd niveau. Wij verdienen ons geld als bank en niet met het verkopen van data van onze klanten."

De Volksbank ziet het als haar taak om klanten in de nieuwe veranderde omgeving te helpen op een veilige en weloverwogen manier met de eigen data om te gaan. Door goed voor te lichten (gratis is nooit echt gratis) maar ook door zelf aanvullende maatregelen te nemen:

• De hoofdschakelaar die het zelfbewustzijn vergroot; data delen wordt een weloverwogen beslissing. De hoofdschakelaar staat standaard op ‘uit’. Een klant die zijn data wil delen moet eerst de hoofdschakelaar omzetten, voordat hij de eerste keer opdracht aan de bank kan geven zijn data aan individuele partijen door te geven. Vervolgens moet de klant per partij ook apart opdracht geven. De klant kan per partij het delen van data tussentijds stopzetten. Of in één keer met de hoofdschakelaar, waarmee direct de toegang van alle partijen wordt gestopt.
• Samen met Privacy First, andere banken, KPMG en fintechs wordt er een PSD2-keurmerk ontwikkeld. Hiermee komen deze organisaties tegemoet aan de oproep van DNB die constateert dat dit nog ontbreekt en er behoefte aan is. Bij ons weten zijn we het eerste land dat zich hiermee bezig houdt. Met het PSD2-keurmerk moet het voor consumenten in één keer duidelijk worden aan wie zij hun data wel/niet kunnen toevertrouwen. De Volksbank werkt hard aan de verdere ontwikkeling, zodat het gereed is zodra de Europese PSD2-richtlijn in Nederland van kracht wordt.

Privacy First

Stichting Privacy First steunt het Privacy Keurmerk bij PSD2. Privacy First ziet het graag uitgroeien tot een internationaal keurmerk met draagvlak bij banken, fintechs, aanbieders, toezichthouders en consumentenorganisaties.

PSD2 biedt voordelen maar helaas ook risico's voor de privacy van mensen. Mensen zijn méér dan consumenten. Privacy First betwijfelt of de in PSD2 genoemde maatregelen om de gegevens en daarmee privacy van mensen te beschermen afdoende zullen zijn. Zo steunt PSD2 voor de bescherming van persoonsgegevens erg op de nieuwe Algemene Verordening Gegevensbescherming (AVG). Deze verordening is momenteel nog niet van kracht en we weten nog niet welke effecten PSD2 in de praktijk zal hebben of hoe het toezicht eruit zal gaan zien. Veel organisaties zijn nog niet klaar om te voldoen aan alle eisen. Ze zullen echter niet wachten met het aanbieden van hun diensten. Ook toezichthouders zijn niet klaar om alle privacyaspecten te handhaven. Met PSD2 wil men gaan vliegen zonder dat de parachute is gecontroleerd.

We hopen dat het keurmerk financiële aanbieders en vooral fintechs stimuleert om verder te gaan en de consument als mens centraal te stellen. We willen dat de eisen van het keurmerk ieder jaar hoger worden. We willen dat aanbieders oog hebben voor de 'informatie achter de informatie':

• Onthulling van gedrag en gegevens door anderen
• Diensten met als achterliggend doel gegevens te verzamelen (oneigenlijke toepassing)
• Het afleiden van gegevens, zoals transactiedata waaruit bijzondere persoonsgegevens afgeleid kunnen worden.

We roepen fintechs op verder te gaan met de mogelijkheden om gegevens te beperken. Denk aan het uitsluiten van transactiedata die kunnen wijzen op religie, politieke voorkeur en gezondheid. Maar ook beperking van de duur van de transactiedata.

Tevens gepubliceerd op https://www.privacy-web.nl/nieuws/privacy-keurmerk-psd2-initiatief-gepresenteerd.

NATIONALE PRIVACY CONFERENTIE 2018 

Op dinsdag 30 januari 2018 organiseerden ECP|Platform voor de InformatieSamenleving en Privacy First in het Amsterdamse Volkshotel gezamenlijk de allereerste Nationale Privacy Conferentie. Met de snelle digitalisering van onze maatschappij staat het recht op privacy in toenemende mate onder druk. Hoe kunnen wij als samenleving digitaliseren én onze privacy behouden en versterken? Hoe zou Nederland zich kunnen ontwikkelen tot internationaal Privacy Gidsland? Tijdens de conferentie probeerden wij gezamenlijk antwoorden op deze vragen te vinden.

SPREKERS

Aleid Wolfsen (Autoriteit Persoonsgegevens)

Onze eerste keynote speaker was Aleid Wolfsen, voorzitter van de Autoriteit Persoonsgegevens. Hij begon zijn presentatie met het filmpje dat te vinden is op www.hulpbijprivacy.nl, de nieuwe campagne van de Autoriteit Persoonsgegevens over de Algemene Verordening Gegevensbescherming (AVG) die op 25 mei 2018 in werking treedt. Dit is een bewustmakingscampagne voor iedereen over de rechten en plichten die voortvloeien uit de nieuwe Europese privacywetgeving.

De huidige Wet bescherming persoonsgegevens (Wbp) wordt ingetrokken, want die wet is verouderd en niet up-to-date met de huidige digitale samenleving. De Algemene Verordening Gegevensbescherming is technologieneutraal en voorziet in die behoefte.

Het recht op privacy is een grondrecht en is ook in verschillende Europese verdragen opgenomen. Dit recht wordt door de EU uitgewerkt in wetgeving door middel van richtlijnen en verordeningen. De Algemene Verordening Gegevensbescherming heeft directe werking in de lidstaten.

“Als we praten over privacy, dan praten we ook over de fundamenten van de Nederlandse rechtsorde. Als je het privacyrecht van mensen schendt, dan raak je die fundamenten. En die fundamenten van de Nederlandse rechtsorde zijn 1) gelijkheid, 2) solidariteit, 3) de klassieke vrijheidsrechten en als laatste de democratische rechtsstaat.”

Privacy was vroeger een stuk eenvoudiger, je deed bijvoorbeeld de gordijnen dicht en niemand kon zien wat je op tv keek of welke boeken je in de kast had staan. Het privacyrecht wordt alsmaar belangrijker, aangezien alle gegevens kunnen worden opgeslagen en aan elkaar kunnen worden gekoppeld. Wanneer we zouden kijken in de telefoon van de bezoekers van deze conferentie en zouden opzoeken wat hun laatste zoektermen waren in een zoekmachine, dan zouden we wellicht meer weten over de bezoekers dan zijn/haar partner en ook meer weten over je gezondheid dan je huisarts. Daarom is het zo belangrijk dat er nu in Europees recht is vastgelegd dat je persoonsgegevens worden beschermd.

Waar gaat het nou eigenlijk om bij privacy?
Privacy is bescherming tegen een almachtige, alwetende overheid. Het recht om met rust gelaten te worden, om onbevangen overal jezelf kunnen zijn, zonder dat je gevolgd wordt en bespied wordt of dat overal camera’s hangen. Dat je als vrij burger, in een vrij land, vrij kunt leven. Dat je alleen maar prijsgeeft waarvan jij denkt dat dat prijsgegeven moet worden. Daarom wordt dataprotectie per dag alsmaar belangrijker.

De drie pijlers onder de AVG
De eerste pijler is versterking en verbreding van de privacyrechten van mensen. Zoals het recht op inzage, de toestemming wordt strenger, recht op correctie, recht op vergetelheid, dataportabiliteit en het recht om te kunnen klagen. Als je vanaf 25 mei as. denkt dat je onrecht wordt aangedaan, dan kun je bij de Autoriteit Persoonsgegevens een klacht indienen en die klacht gaat de Autoriteit verplicht behandelen. Want als tweede pijler heeft de Autoriteit Persoonsgegevens als Europese privacytoezichthouder meer bevoegdheden gekregen. Indien de Autoriteit oordeelt dat bepaald handelen onrechtmatig was, dan zal de Autoriteit ook optreden. Dit kan door middel van een waarschuwing, maar ook door het opleggen van (draconische) boetes.

Als derde pijler: meer verantwoordelijkheden voor organisaties. De plicht om gegevensverwerkingen te melden bij de Autoriteit komt te vervallen, want elke overheid en bedrijf verwerkt inmiddels gegevens. Organisaties moeten wel een register bij gaan houden met wat ze verwerken en dit moet je ook kunnen verantwoorden. Elke overheidsinstelling en sommige private organisaties zijn verplicht om een Functionaris Gegevensbescherming aan te stellen. Daarnaast moeten bedrijven en overheden een Privacy Impact Assessment doen. Twee andere belangrijke beginselen voor verwerkingsverantwoordelijken zijn privacy by design – als je iets gaat ontwikkelen dan moet dat privacyvriendelijk worden ontwikkeld – en privacy by default.

Wat betekent de wet voor de toezichthouder?
De Autoriteit Persoonsgegevens is verantwoordelijk voor het toezicht en de handhaving van de wet, krijgt steviger boetebevoegdheden, internationale samenwerking, grensoverschrijdende bevoegdheden, voorlichting voor het algemeen publiek en aan organisaties.

Wanneer is een Functionaris Gegevensbescherming verplicht?
Overheden en publieke organisaties zijn altijd verplicht een functionaris gegevensbescherming te hebben. Daarnaast ook wanneer een organisatie bijzondere persoonsgegevens verwerkt, zoals een zorginstelling, of indien je grootschalig mensen observeert.

Antwoorden op vragen uit het publiek:

Wat gebeurt er met het geld van de boetes?
Deze gaan terug naar de Rijkskas, naar de algemene middelen.

Kunt u meer vertellen over de Uitvoeringswet van de AVG en heeft het invloed op Europese samenwerking?
De Uitvoeringswet ligt momenteel nog bij de Tweede Kamer. Nederland probeert de AVG zo neutraal mogelijk te implementeren, want hoe meer we zouden afwijken, hoe moeilijker het zou worden om op Europees niveau samen te werken.

Is er een overgangstermijn voor de handhaving?
Nee, er is geen overgangstermijn, want de inwerkingtreding heeft al heel lang geduurd. In 2016 is er nog twee jaar extra gegeven voor de inwerkingtreding zodat bedrijven compliant met de AVG kunnen worden.

Klik HIER voor de presentatie van Aleid Wolfsen (pdf).

Gerrit-Jan Zwenne (Universiteit Leiden)

De tweede keynote speaker was Gerrit-Jan Zwenne, als hoogleraar verbonden aan het eLaw Centrum voor Recht en Digitale Technologie van de Universiteit Leiden. Zwenne plaatste in zijn betoog een aantal kanttekeningen bij de privacywetgeving en begon met een citaat van Niels Bohr: “It’s hard to make predictions. Especially about the future.” Onze wetgever doet voorspellingen over de toekomst en technologische ontwikkelingen. Wat was het begin van het moderne denken over privacy? In vrijwel alle scripties die Zwenne voorbij ziet komen staat een voetnoot of citaat uit een belangrijke publicatie uit 1890 door Samuel Warren en Louis Brandeis in de Harvard Law Review. Zij schreven een artikel over the right to be left alone naar aanleiding van een technologische ontwikkeling, namelijk het draagbare fototoestel. Een aantal andere ontwikkelingen, zoals de trein en de krantenpers, zorgden ervoor dat een beeld binnen aanzienlijke tijd het hele continent kon bereiken. Hierover dachten Samuel Warren en Louis Brandeis na: zou dit allemaal zomaar mogen, je zou toch het recht moeten hebben om met rust gelaten te worden?

Waar komt onze eigen huidige privacywetgeving vandaan? Ook dat is een reactie op technologische ontwikkelingen en dan denken we vooral aan de computer. Al in de jaren 50 zorgden computers voor vrees over wat er met de gegevens gebeurde. Begin jaren 70 richtte de maatschappelijke discussie zich op het profileren door middel van computers. Moeten we het machtsevenwicht dat is verstoord door computers, doordat gegevens worden vastgelegd, reguleren door middel van wetgeving en de burger rechten geven over wat er is vastgelegd in die computer? In Nederland werd toen de Commissie Koopmans ingesteld, deze heeft een rapport geschreven dat is behandeld in de Tweede Kamer, maar daar is vervolgens niks mee gedaan. In Duitsland is toen wel wetgeving gekomen, als directe reactie op de technologische ontwikkelingen. Uiteindelijk is dat de basis geweest voor de Europese Privacyrichtlijn (95/46/EC) en onze Wet bescherming persoonsgegevens (Wbp). Bij nieuwe wetgeving probeer je te voorspellen wat de komende technologische ontwikkelingen zijn, aangezien je wilt dat de wet toekomstbestendig is. In het juridische domein lossen we dat op door open begrippen en vage normen. We bedenken nieuwe rechten en soms zijn die experimenteel. Een gewaagd en interessant experiment is het recht op vergetelheid. Dat is eigenlijk een wat merkwaardig experiment; we hebben nog geen idee wat dat betekent voor onze samenleving. En het is ook te ongenuanceerd. Daarnaast is er dataportabiliteit, waarbij je gegevens van de ene partij kan overdragen naar een andere partij. De partijen moeten de gegevens helder aan de consument verstrekken, vaak zul je hierbij eigen ‘kluisjes’ krijgen bij bedrijven, mijn-telecomprovider, mijn-muziekdienst, mijn-energiedienst. En daaraan kleven ook privacyrisico’s, onder andere qua beveiliging en ook wanneer je van de ene partij wilt overstappen naar een ander. Dit kan al snel via één klik, maar je wilt hierbij ook een sterke authenticatie.

Het recht op vergetelheid
De Chinese keizer Qin Shi Huangdi liet alle boeken van vorige regimes verbranden. Dat is het gevoel dat Gerrit-Jan Zwenne een beetje heeft bij het recht op vergetelheid. Is het een goed idee dat we de geschiedenis op die manier gaan herschrijven? Inmiddels is hij wat genuanceerder, in de tijd van Big Data, dat we iets moeten hebben wat lijkt op het recht op vergetelheid, maar wellicht is het nu nog te absoluut. Misschien moet het vergeetrecht gelden voor vijf of tien jaar en daarna krijg je een jaar van te voren een mededeling, mocht je het langer willen laten gelden, dat je een nieuw verzoek moet doen. We moeten die rechten in balans brengen met het recht op informatie en het recht op vrijheid van meningsuiting. Zo’n absoluut vergeetrecht is niet alleen onhoudbaar, via bijvoorbeeld een VPN in de Verenigde Staten vind je de informatie toch wel weer, maar het is ook niet wenselijk. Het vergeetrecht is nog onvoldoende doordacht.

Er zijn volgens Zwenne nog meer gebreken in de privacywetgeving aan te wijzen. Deze definitie kent u natuurlijk: “’personal data’ means any information relating to an identified or identifiable natural person”. Dit is een kernbegrip uit de AVG en de Wbp en het is toch raar dat mensen met verstand van data, met verstand van informatie, zich afvragen waarom wij dat zo definiëren. Mensen met verstand van informatie definiëren informatie immers aan de hand van data. In de privacywetgeving wordt dat omgedraaid en dat kan helemaal niet, aldus Zwenne.

Klik HIER voor de presentatie van Gerrit-Jan Zwenne (pdf).

 “Onderzoeker”

Plots kwam een onderzoeker de zaal binnen. Op een ludieke manier testte hij de bereidwilligheid van aanwezigen om hun mobiele telefoon af te geven aan hun buurman of buurvrouw. Met de vragen die hij stelde probeerde hij in kaart te brengen welke informatie je wel wilt delen en welke niet. Het publiek van deze conferentie was op haar hoede en deelde weinig. De onderzoeker was een acteur van “Wat we doen”; een theatergroep die een maatschappelijk thema (dit keer privacy) onder de aandacht wil brengen van o.a. scholieren. Voor meer informatie hierover verwijzen we graag naar https://watwedoen.nl/.

Jaap-Henk Hoepman (Radboud Universiteit)

De derde spreker van de dag was Jaap-Henk Hoepman, directeur van het Privacy & Identity Lab aan de Radboud Universiteit Nijmegen. Hoepman sprak met name over privacy by design:

Voor veel mensen is privacy by design een vaag begrip. Het gaat erom dat je privacyaspecten meeneemt in het hele ontwikkeltraject van systemen. Vanaf het moment dat je gaat nadenken van het concept van het systeem, tot het ontwerp en daarna de implementatie. Dat maakt privacy eigenlijk een soort software quality attribute, vergelijkbaar met security en performance. Daarnaast is privacy by design een proces, omdat het door het gehele ontwikkelproces moet worden meegenomen.

Waarom is privacy by design belangrijk?
Privacy by design beperkt privacy-risico’s en daarmee ook eventuele reputatieschade of herstelkosten. Wie verkleint, vermindert of voorkomt kan deze schade beperken, onder het motto: “Wat je niet hebt kun je ook niet verliezen.” Een ander aspect dat onderbelicht is, is dat het nieuwe business mogelijk maakt, net zoals security by design internetbankieren mogelijk maakt. Privacy by design is noodzakelijk als je dingen in bijvoorbeeld de zorg, Internet of Things of Quantified Self voor elkaar wilt krijgen op een verantwoorde manier. En als laatste waarom privacy by design noodzakelijk is, is omdat het een vereiste is uit de AVG.

In Nijmegen heeft men nagedacht over privacy design strategies waarin vage juridische normen worden vertaald naar een achttal (technische) ontwerpeisen. Dit zijn acht onderwerpen waar je als techneut over moet praten met de business en de juridische afdeling als het gaat om het ontwerp van het systeem.

Data georiënteerde strategieën
Als je kijkt naar een informatieverwerkend systeem als een database, waarbij gegevens worden verzameld over individuen, en over die individuen worden verschillende attributen verzameld, zoals leeftijd, adres, naam et cetera, dan is minimaliseren één van de eerste dingen die je kunt doen, dus niet alle mogelijke attributen verzamelen, maar daar een selectie uit maken. Als tweede kan je attributen in verschillende databases stoppen, zodat data niet gecombineerd kunnen worden. Het derde wat je kan doen is gegevens abstraheren, door bijvoorbeeld te registreren of iemand ouder is dan achttien in plaats van de specifieke leeftijd. En het laatste wat je kunt doen, bij een kleinere database, is deze adequaat te beschermen.

Proces-georiënteerde strategieën
Ten eerste: informeer gebruikers over de verwerking van hun persoonsgegevens. Geef vervolgens gebruikers controle over de verwerking van hun persoonsgegevens. Daarna committeer je aan een privacyvriendelijke verwerking van persoonsgegevens en dwingt dit af. En als laatste toon je aan dat je op een privacyvriendelijke wijze persoonsgegevens verwerkt.

Het scheiden van gegevens
Het is belangrijk om na te denken over het fysiek scheiden van gegevens en na te denken over een ontwerp van een systeem waarin deze gegevens niet centraal worden verzameld, maar op bijvoorbeeld individuele apparaten van gebruikers. Een interessant voorbeeld hiervan is de mogelijkheid op een iPhone om op basis van gezichtsherkenning automatisch mappen aan te laten maken en foto’s te selecteren; dit gebeurt op de smartphone zelf en niet in een centraal systeem. Een ander goed voorbeeld hiervan heeft betrekking op social media. Facebook is centraal georganiseerd: alle informatie staat centraal opgeslagen bij Facebook. Maar als je kijkt naar de functionaliteit, namelijk het directe contact met vrienden en kennissen, dan zou je dit ook peer-to-peer kunnen doen. En dat dan de gegevens die je wilt delen op je eigen smartphone staan en dat je die direct deelt met de smartphone van vrienden en kennissen. Dat is een hele andere manier van denken, en hierover kun je nadenken bij de ontwikkeling van elk systeem.

Gegevens abstraheren
Dit houdt in dat je gegevens niet in detail verwerkt, maar dit meer in abstracto doet. Een van de triviale voorbeelden waarin dit is toegepast is in de slimme energiemeter. Bij de eerste slimme meter was het idee nog dat je gebruik realtime zou worden doorgegeven aan de leverancier. Dit gaf veel ophef, omdat dat veel informatie prijsgeeft over je persoonlijke levenssfeer. Daarom verzamelt de slimme meter nu je verbruik en geeft het totaal elke drie maanden door. Andere voorbeelden zijn leeftijdsverificatie: als je alleen hoeft te weten of iemand ouder is dan achttien, dan heb je niet per se de geboortedatum nodig.

Informeren
Zorg ervoor dat gebruikers direct op een makkelijke manier inzage hebben in de gegevens die jij van hen hebt verzameld. De meeste bedrijven hebben inmiddels wel een portal zoals mijn-internetprovider, mijn-telefoonprovider et cetera, waarbij gebruikers worden geïnformeerd.

Op de latere vraag vanuit de congresorganisatie wat Hoepmans ervaring was van deze middag antwoordde hij: “Goed te zien dat er steeds meer privacyvriendelijke oplossingen op de markt komen. Privacy by design is vooral een kwestie van *willen* en dan doen. Wel is extra aandacht nodig voor een goede uitwisseling van kennis tussen de verschillende partijen: er is in de techniek veel meer mogelijk dan de meeste organisaties weten. Daardoor blijven potentieel super-privacyvriendelijke oplossingen liggen.”

Klik HIER voor de presentatie van Jaap-Henk Hoepman (pdf).

Panel

Moderator Marjolijn Bonthuis (ECP) onderwierp het panel aan een aantal stellingen. De reactie van het publiek op de stellingen was vaak eensgezind, maar soms ook verschillend van mening. Vanuit het panel reageerde Tim Toornvliet (Nederland ICT) later als volgt: “Ik vond het een mooie mix van privacy-experts en privacy voorvechters. Het was inspirerend om te zien hoe de genomineerden met innovatieve technische oplossingen de privacy van gebruikers willen verbeteren”.  “Privacy is springlevend!” is een uitspraak van panellid Lennart Huizing (Privacy Company). Hij vond het heel grappig dat de reactie van de zaal op de stelling ‘privacy is belangrijker dan veiligheid’ massaal was: “dat is een valse dichotomie!” Dan heb je een interessant publiek gevonden... Het tastbare ongemak rondom het afgeven van mobieltjes aan de buurman vond hij ook heel boeiend.

Nederlandse Privacy Awards

Genomineerden

Er zijn 4 categorieën waarvoor inschrijvingen genomineerd konden worden:

1. categorie Consumentenoplossingen (van bedrijven voor consumenten)

2. categorie Bedrijfsoplossingen (binnen een bedrijf of business-to-business)

3. categorie Overheidsdiensten (van de overheid voor burgers)

4. Aanmoedigingsprijs voor een baanbrekende technologie of persoon.

Uit de diverse inzendingen had de onafhankelijke vakjury de volgende genomineerden per categorie bepaald:

Consumentenoplossingen:
IRMA (I Reveal My Attributes)
Schluss

Bedrijfsoplossingen:
TrustTester
Personal Health Train

Overheidsdiensten:
Jeugd Implementatieplan Privacy (gemeente Amsterdam)

Na de discussie met panel en publiek kregen de vijf genomineerden de kans om hun verhaal te vertellen: Schluss, Personal Health Train, IRMA, TrustTester en Jeugd Implementatieplan Privacy (gemeente Amsterdam) deelden hun mooie initiatieven met de zaal.

Presentaties

IRMA (pdf) https://www.youtube.com/watch?v=q6IihEQFPys

Schluss (pdf) https://www.youtube.com/watch?v=f-cU5Izs5EI

TrustTester (pdf) https://www.youtube.com/watch?v=JCivU3LQg-8

Personal Health Train (pdf) https://www.youtube.com/watch?v=Sn-KK4reRGg

Jeugd Implementatieplan Privacy, gemeente Amsterdam (pdf)

Winnaars

Na afloop van de Award-pitches door de genomineerden nam juryvoorzitter Bas Filippini (Privacy First) het woord en kon Bart Jacobs van IRMA de felbegeerde allereerste Nederlandse Privacy Award in ontvangst nemen. IRMA (I Reveal My Attributes) is een state-of-the-art open source identity platform waarin gebruikers zich middels een app kunnen authenticeren op basis van één of meer kenmerken vanuit hun verschillende rollen (contextuele authenticatie). Deze authenticatie is niet identificerend: door gebruik te maken van een 1-op-1 relatie tussen gebruiker en dienstverlener zijn zogenaamde “brokers” niet meer nodig en kan de gebruiker anoniem gebruikmaken van diensten, zonder wachtwoord en met een minimum aan benodigde kenmerken (“attributes’). Het systeem is ontwikkeld door de Digital Security onderzoeksgroep van de Radboud Universiteit Nijmegen. Sinds eind 2016 is IRMA ondergebracht bij de onafhankelijke stichting Privacy by Design.

De jury prijst de ontwikkeling van IRMA vanuit de academische wereld als algemeen bruikbare privacy by design toepassing voor zowel de private als de publieke sector. Als middel voor privacyvriendelijke authenticatie spreken het grote innovatieve vermogen van de gehanteerde open-source techniek, de directe inzetbaarheid en de potentiële maatschappelijke impact van IRMA de jury enorm aan.

In het bredere kader van Nederland Privacy Gidsland is IRMA door de jury daarom unaniem gekozen als winnaar van de Nederlandse Privacy Awards 2018.

‘Sleepwet-studenten’

Op initiatief van vijf Amsterdamse studenten wordt op 21 maart as. een nationaal referendum gehouden over de controversiële nieuwe Wet op de inlichtingen- en veiligheidsdiensten (‘Sleepwet’). Ongeacht de uitkomst van dit referendum zal dit leiden tot een hoger (en waarschijnlijk kritischer) Nederlands privacybewustzijn. Reeds dit feit vormde voor de jury unaniem reden om deze studenten te belonen met een Nederlandse Privacy Award (Aanmoedigingsprijs).

Klik HIER voor het hele juryrapport (pdf) met deelnamecriteria en toelichting bij alle genomineerden en de winnaars.

V.l.n.r.: Paul Korremans (jurylid), Luca van der Kamp (referendumstudenten), Esther Bloemen (Personal Health Train), Nina Boelsums (referendumstudenten), Bas Filippini (jury-voorzitter), Bart Jacobs (IRMA), Arjan van Diemen (TrustTester), Marie-José Hoefmans (Schluss) en Wilmar Hendriks (Jeugd Implementatieplan Privacy, gemeente Amsterdam). 

De middag werd afgesloten met een borrel waar de winnaars de felicitaties in ontvangst namen en de sprekers hun verhaal verder toelichtten. Deze editie smaakt naar meer! Binnenkort volgt meer informatie over volgend jaar.

Voor meer informatie over de privacy by design community verwijzen we graag naar https://ecp.nl/community-privacy-by-design.

Tot de volgende editie!

Privacy First en ECP | Platform voor de InformatieSamenleving

Privacy First organiseerde deze editie van de Nederlandse Privacy Awards met steun van Stichting Democratie & Media en Adessium Foundation, in samenwerking met ECP. Wilt u ook partner van de Nederlandse Privacy Awards worden? Neem dan contact op met Privacy First!

IRMA en Referendum-studenten winnen Nederlandse Privacy Awards 

Tijdens de Nationale Privacy Conferentie van Privacy First en ECP zijn vandaag de allereerste Nederlandse Privacy Awards uitgereikt. Deze Awards bieden een podium aan bedrijven en overheden die privacy zien als een kans om zich positief te onderscheiden en privacyvriendelijk ondernemen en innoveren tot norm te maken. Grote winnaar van de Nederlandse Privacy Awards 2018 is IRMA (I Reveal my Attributes). Daarnaast ontvingen de studenten achter het Sleepwet-referendum de Aanmoedigingsprijs.

Winnaar: IRMA (I Reveal my Attributes)

IRMA (I Reveal My Attributes) is een state-of-the-art open source identity platform waarin gebruikers zich middels een app kunnen authentiseren op basis van één of meer kenmerken vanuit hun verschillende rollen (contextuele authenticatie). Deze authenticatie is niet identificerend: door gebruik te maken van een 1-op-1 relatie tussen gebruiker en dienstverlener zijn zogenaamde “brokers” niet meer nodig en kan de gebruiker anoniem gebruikmaken van diensten, zonder wachtwoord en met een minimum aan benodigde kenmerken (“attributes’).

Het systeem is ontwikkeld door de Digital Security onderzoeksgroep van de Radboud Universiteit Nijmegen. Sinds eind 2016 is IRMA ondergebracht bij de onafhankelijke stichting Privacy by Design.

De Awards-jury prijst de ontwikkeling van IRMA vanuit de academische wereld als algemeen bruikbare privacy by design toepassing voor zowel de private als de publieke sector. Als middel voor privacyvriendelijke authenticatie spreken het grote innovatieve vermogen van de gehanteerde open-source techniek, de directe inzetbaarheid en de potentiële maatschappelijke impact van IRMA de jury enorm aan. IRMA is door de jury daarom unaniem gekozen als winnaar van de Nederlandse Privacy Awards 2018.

Winnaars: ‘Sleepwet-studenten’

Op initiatief van vijf Amsterdamse studenten wordt op 21 maart as. een nationaal referendum gehouden over de controversiële nieuwe Wet op de inlichtingen- en veiligheidsdiensten (‘Sleepwet’). Ongeacht de uitkomst van dit referendum zal dit leiden tot een hoger (en waarschijnlijk kritischer) Nederlands privacybewustzijn. Reeds dit feit vormde voor de jury unaniem reden om deze studenten te belonen met een Nederlandse Privacy Award (Aanmoedigingsprijs).

Nominaties  

Er zijn 4 categorieën waarvoor inschrijvingen genomineerd konden worden:

1. categorie Consumentenoplossingen (van bedrijven voor consumenten)

2. categorie Bedrijfsoplossingen (binnen een bedrijf of business-to-business)

3. categorie Overheidsdiensten (van de overheid voor burgers)

4. Aanmoedigingsprijs voor een baanbrekende technologie of persoon.

Uit de diverse inzendingen had de onafhankelijke vakjury de volgende genomineerden per categorie bepaald:

Tijdens de Nationale Privacy Conferentie hebben alle genomineerden hun projecten middels Award-pitches aan het publiek gepresenteerd. Vervolgens zijn de Awards uitgereikt. Klik HIER voor het hele juryrapport (pdf) met deelnamecriteria en toelichting bij alle genomineerden en de winnaars.

V.l.n.r.: Paul Korremans (jurylid), Luca van der Kamp (referendumstudenten), Esther Bloemen (Personal Health Train), Nina Boelsums (referendumstudenten), Bas Filippini (jury-voorzitter), Bart Jacobs (IRMA), Arjan van Diemen (TrustTester), Marie-José Hoefmans (Schluss) en Wilmar Hendriks (Jeugd Implementatieplan Privacy, gemeente Amsterdam).  Foto: Maarten Tromp.

Nationale Privacy Conferentie

De Nationale Privacy Conferentie is een initiatief van ECP|Platform voor de InformatieSamenleving en Privacy First. Deze conferentie brengt voortaan jaarlijks het Nederlandse bedrijfsleven, overheid, wetenschap en maatschappelijk middenveld bijeen om gezamenlijk te kunnen bouwen aan een privacyvriendelijke informatiemaatschappij. Missie van de Nationale Privacy Conferentie en de Nederlandse Privacy Awards is de ontwikkeling van Nederland tot internationaal Privacy Gidsland. Privacy by design vormt daartoe de sleutel.

Sprekers tijdens de Nationale Privacy Conferentie 2018 waren achtereenvolgens:  

Aleid Wolfsen, voorzitter Autoriteit Persoonsgegevens
Gerrit-Jan Zwenne, hoogleraar Recht en de Informatiemaatschappij (Universiteit Leiden)
Jaap-Henk Hoepman, associate Professor Privacy by Design (Radboud Universiteit Nijmegen)

Ulco van de Pol, voorzitter Commissie Persoonsgegevens Amsterdam  
Tim Toornvliet, Nederland ICT
Lennart Huizing, Privacy Company.

Aleid Wolfsen, voorzitter Autoriteit Persoonsgegevens.  Foto: Maarten Tromp

Jury Nederlandse Privacy Awards

De onafhankelijke vakjury van de Awards bestaat uit privacy-experts uit diverse sectoren:
• Bas Filippini, oprichter en voorzitter Privacy First (jury-voorzitter)
• Paul Korremans, data protection & security professional, Comfort Information Architects
• Marie-José Bonthuis, eigenaar IT’s Privacy
• Bart van der Sloot, senior researcher, Tilburg University
• Marjolein Lanzing, promovenda Filosofie & Ethiek, Eindhoven University of Technology.

Om te garanderen dat de verkiezing van de Awards objectief verloopt, is het niet toegestaan dat de jury een deelname beoordeelt van de eigen organisatie.

Privacy First organiseert de Nederlandse Privacy Awards met steun van Stichting Democratie & Media en Adessium Foundation, in samenwerking met ECP. Wilt u ook partner van de Nederlandse Privacy Awards worden? Neem dan contact op met Privacy First!

Hierbij publiceert Stichting Privacy First graag haar jaarverslag 2016: klik HIER om de pdf-versie te downloaden. In ons jaarverslag leest u alles over onze voornaamste activiteiten in 2016, waaronder onze rechtszaken, onze lobby en onze publieksevenementen. Als organisatie bevindt Privacy First zich momenteel in een belangrijke groeifase. Naarmate het belang van goede privacybescherming in onze informatiemaatschappij steeds groter en urgenter wordt, neemt het belang van een sterke, krachtige organisatie als Privacy First immers navenant toe. Uw steun als donateur is en blijft daarbij onmisbaar. Klik HIER om donateur van Privacy First te worden!

Tijdens het Nationaal Congres Dataprotectie & Privacy zijn vandaag de IIR Nationale Privacy Innovatie Awards uitgereikt.

Nationale Privacy Innovatie Awards

De jaarlijkse IIR Nationale Privacy Innovatie Awards zijn vandaag voor de 2e keer uitgereikt en laten een duidelijke groei zien in het aantal aanmeldingen. De Awards zijn een mooie samenwerking tussen de populaire congresorganisatie IIR en Stichting Privacy First, gericht op bedrijven en organisaties die zich positief onderscheiden in duurzaam privacybeleid en privacyvriendelijke producten en diensten. Dit in lijn met de missie van Privacy First: Nederland Privacy Gidsland.

Winnaars Nationale Privacy Innovatie Awards 2016

Uit alle aanmeldingen zijn per categorie 2 genomineerden gekozen waarvan 1 winnaar is geselecteerd:

Categorie Bedrijfsoplossingen:

1. TomTom Fleet Management OptiDrive 360, de privacyvriendelijke oplossing voor wagenparken: https://business.tomtom.com/nl_nl/webfleet/products/webfleet/features/optidrive360/

2. Pseudonimiseer, voor pseudonimisering en anonimisering van persoonsgegevens: https://www.pseudonimiseer.nl  


Categorie Consumentenoplossingen:  

1. Qiy met de ID-cover voor identiteitsdocumenten: https://www.respectprivacy.org

2. Ydenti (CDDN), een privacy platform voor de consument en zijn persoonlijke gegevens (in ontwikkeling).


Categorie Overheidsdiensten:

- Geen inzendingen.

Categorie Start-ups (aanmoedigingsprijs):

1. Zivver met anonieme communicatiediensten voor consumenten en bedrijven: https://www.zivver.com/nl

2. Soverin met anonieme internetdiensten: https://soverin.net

Zivver heeft daarnaast ook de Publieksprijs in de wacht gesleept!

Van links naar rechts: Paul Korremans (jury), John Borking (jury), de winnaars Maarten Louman van Qiy, Simon Hania van TomTom, Rick Goud van Zivver en Bas Filippini (jury). Foto: IIR

Privacymarkt ontwikkelt zich sterk

Opvallend is dat er de laatste jaren een nieuwe markt aan het ontstaan is op het gebied van privacy binnen organisaties en privacygerichte oplossingen. Enerzijds wordt dit ingegeven door de nieuwe Europese privacywetgeving en anderzijds door de enorme concentratie van gegevens bij enkele grote commerciële partijen en overheden. De vele datalekken, hacks en bewust misbruik van gegevens door geheime diensten die door Snowden naar buiten zijn gebracht, versterken langzaam maar zeker het privacybewustzijn bij de burger. Waar de industriële revolutie milieuvervuiling veroorzaakte is dat bij de informatierevolutie privacy- en vrijheidsvervuiling.

Enkele gebieden waar de inzenders zich op richten zijn:

- Technische en procedurele veiligheidsoplossingen ingegeven door wetgeving en technische encryptiemogelijkheden;
- Dienstverlening gericht op het pseudonimiseren en anonimiseren van persoonsgegevens en data;
- Diensten gericht op anonieme communicatie (document sharing, chat, mail en surfen) en anonieme mobiliteit (anonieme kaarten etc);
- Diensten waarbij de gebruiker eigen verantwoordelijkheid kan nemen in het omgaan, beheer en eventueel vercommercialiseren van zijn/haar persoonsgegevens vanuit een eigen of third party datakluis;
- Praktische oplossingen gericht op het voorkomen van identiteitsfraude.

Onafhankelijke jury

De Awards worden toegekend door een onafhankelijke jury van privacy professionals die op basis van een aantal scherpe criteria inzenders nomineren. Vervolgens worden middels bedrijfsbezoeken en onderzoeksvragen de winnaars geselecteerd.

De jury bestaat uit de volgende personen:

• Drs. L.T.C. Filippini, voorzitter Stichting Privacy First (juryvoorzitter)
• Dr. John Borking, Of Counsel, CMS, lid van Advisory Board van EuroPriSe GmbH
• Paul Korremans, MBA, Data Protection & Security Professional, Comfort Information Architects
• Dr. Jaap Henk Hoepman, Scientific Director, Privacy & Identity Lab.

Lees HIER meer over de IIR Nationale Privacy Innovatie Awards.