Toon items op tag: Visie

Nederlandse Privacy Awards

Op 28 januari as. (de Europese Dag van de Privacy) worden tijdens de Nationale Privacy Conferentie van ECP en Privacy First de jaarlijkse Nederlandse Privacy Awards uitgereikt. Deze Awards bieden een podium aan bedrijven en overheden die privacy zien als een kans om zich positief te onderscheiden en privacyvriendelijk ondernemen en innoveren tot norm te maken.

Genomineerden

Dit jaar hebben bijna 20 deelnemers zich aangemeld, met een groot aantal hoogwaardige inzendingen. Uit deze inzendingen heeft de onafhankelijke vakjury de volgende genomineerden per categorie bepaald:

Consumentenoplossingen

Private Search 2.0: eind 2018 heeft het Nederlandse bedrijf Startpage.com een nieuwe versie geïntroduceerd van haar privacyvriendelijke zoekmachine, met daarin een Anonymous View-functie. Hiermee kan de gebruiker een website bekijken zonder de privacyvriendelijke Startpage.com-omgeving te verlaten. De nieuwe Startpage.com website biedt privacybewuste internetters daarmee een belangrijke, en bovendien zeer gebruiksvriendelijke mogelijkheid om websites te bekijken zonder zich voortdurend zorgen te hoeven maken over ongewenste profilering en toekomstige confrontatie met hun zoekgedrag.

VraagApp is een app die kwetsbare burgers de mogelijkheid biedt om vragen te stellen aan vrijwilligers over praktische problemen die ze in het dagelijks leven tegenkomen. Deze app is genomineerd omdat het een excellent voorbeeld is hoe gebruikers “echt” te informeren. Niet louter een afvink-mentaliteit, maar privacy doordenken in alle lagen van de organisatie én de technologie. Privacy wordt hier niet gezien als een hindernis maar als een noodzakelijke voorwaarde om de dienst te laten functioneren. Door privacy in zowel het ontwerp als gebruik centraal te zetten, wordt het mogelijk een kwetsbare doelgroep op een veilige en vertrouwensvolle manier toegang te bieden tot de informatiemaatschappij en zo bij te dragen aan hun zelfstandigheid.

Schluss is met recht dé doorzetter, want nu voor de tweede keer genomineerd. Schluss heeft als missie dat iedereen de baas wordt over zijn of haar gegevens op internet en zo zelf kan bepalen wie wat van hen mag weten. Meer zeggenschap van gebruikers over hun eigen gegevens is een belangrijk goed en Schluss draagt bij aan maatschappelijke bewustwording omtrent privacyrechten van burgers. Schluss heeft daarbij inmiddels een duidelijke nuance in de omvang van het gebruik van haar toepassing aangebracht en faciliteert nu per ‘use case’ privacyvriendelijke gegevensuitwisseling.

Bedrijfsoplossingen

Privacy op Schooltas is een privacy-bewustwordingstool voor leerkrachten. Aan de hand van ‘escaperoom-achtige’ opdrachten maken leraren op een speelse en spannende manier kennis met zaken die mis kunnen gaan op het gebied van informatiebeveiliging en privacy van leerlingdata, zoals fouten in leerlingdossiers, datalekken en agenda’s met inloggegevens. Deze tool is genomineerd omdat het op een innovatieve wijze werkt aan bewustwording op de werkvloer. Het speelse element versterkt de kennisoverdracht en zet aan tot gesprek met collega’s over hoe in de dagelijkse praktijk privacybescherming vorm te geven.

Privacy Designer: MKB-bedrijven zijn de motor van de Nederlandse economie en dienen ook te voldoen aan de AVG. De gratis app/website Privacy Designer van Privacy Company en SURF helpt hen om snel en eenvoudig inzichtelijk te krijgen welke maatregelen genomen moeten worden.

Overheidsdiensten

Passantentellingen is een nieuw privacyvriendelijk concept dat de gemeente Nijmegen als eerste in Nederland in haar binnenstad gaat toepassen. Met camera’s worden ‘on the flight’ personen en looppatronen anoniem geregistreerd. Puntjes en streepjes zijn het resultaat.

Project privacy by design: de Belastingdienst werkt datagedreven en wil dat goed doen. Bij de afdeling Datafundamenten & Analytics van de Belastingdienst is nu een project gaande om privacy by design binnen de organisatiestructuur in te bedden. Onderdeel daarvan is het pseudonimiseren van alle data. Bepaald geen sinecure.

Tevens zal de vakjury op eigen initiatief een speciale Aanmoedigingsprijs uitreiken.

Jury Nederlandse Privacy Awards

De jury van de Awards bestaat uit onafhankelijke privacy-experts uit diverse sectoren:

• Bart van der Sloot, senior researcher, Universiteit Tilburg (jury-voorzitter)
• Bas Filippini, oprichter en voorzitter Privacy First
• Paul Korremans, data protection & security professional, Comfort Information Architects (tevens bestuurslid Privacy First)
• Marie-José Bonthuis, eigenaar IT’s Privacy
• Esther Janssen, advocaat Informatierecht en grondrechten, bureau Brandeis
• Esther Keymolen, techniekfilosoof, TILT, Universiteit Tilburg
• Matthijs Koot, senior security specialist, Secura BV
• Marc van Lieshout, senior onderzoeker TNO en zakelijk directeur PI.lab
• Wendeline Sjouwerman, privacy specialist lokale overheden en zorg.

 
Uitreiking Awards

Tijdens de Nationale Privacy Conferentie op maandag 28 januari 2019 in Nieuwspoort (Den Haag) worden de zeven genomineerde projecten door de inzenders aan het publiek gepresenteerd. De vakjury reikt vervolgens de Nederlandse Privacy Awards 2019 uit.

Privacy First organiseert de Nederlandse Privacy Awards met steun van Stichting Democratie & Media, in samenwerking met ECP. Klik HIER voor een impressie van de Nederlandse Privacy Awards 2018. Wilt u graag partner of sponsor van de Nederlandse Privacy Awards worden? Neem dan contact op met Privacy First!

Nieuwe Europese wetgeving PSD2 in werking 

Vanaf begin 2019 wordt in Nederland PSD2 van kracht (Payment Service Directive 2). Met deze nieuwe Europese bankenwet kunnen consumenten hun bankgegevens delen met andere partijen dan hun eigen bank. Hiervoor moet de consument eerst uitdrukkelijke toestemming geven. Hierna moet de bank alle transactiedata[1] van de consument (rekeninghouder) met een externe partij (financiële dienstverlener) delen voor een periode van 90 dagen, waarna de consument zijn toestemming kan vernieuwen. Tevens kan de consument zijn toestemming op ieder moment intrekken.

PSD2 baart Privacy First grote zorgen

Privacy First heeft grote zorgen rond PSD2. De wet is teveel gericht op het verbeteren van mededinging en innovatie en het privacybelang van de rekeninghouders is uit het oog verloren. De grootste bezwaren van Privacy First zijn:

• Consumenten kunnen de hoeveelheid bankgegevens niet beperken. Zelfs als een financiële dienstverlener deze gegevens niet nodig heeft, wordt na het geven van toestemming toch alle data gedeeld.
• In de bankgegevens van een consument staan ook de gegevens van andermans tegenrekening. Deze persoon weet niet dat zijn gegevens gedeeld worden en kan dit ook niet verhinderen. Doordat de transactiedata via Big Data en data-analyses veel breder geanalyseerd zullen worden dan voor de inwerkingtreding van PSD2 ontstaan grote risico's op privacyschendingen.
• Bankgegevens bevatten “bijzondere persoonsgegevens” die alleen onder strikte voorwaarden verwerkt mogen worden.[2] Een contributiebetaling aan een vakbond, politieke partij of organisatie die seksuele voorkeur onthult, moet volgens Privacy First gezien worden als bijzonder (gevoelig) persoonsgegeven. Ook transacties met zorgverleners en apotheken moeten als bijzondere persoonsgegevens worden gezien. Op dit moment bestaat geen mogelijkheid deze gegevens te filteren en worden ze verstrekt aan partijen die deze gegevens niet mogen verwerken.

Tijdens de uitzending van AVROTROS Radar van maandagavond 7 januari 2019 vroeg Privacy First nadrukkelijk aandacht voor deze zaken.

PSD2-keurmerk voor transparantie

Privacy First wil dat consumenten eerlijk en transparant geïnformeerd worden over wat er met hun gegevens gebeurt. In plaats van lange privacy-statements pleit Privacy First voor onafhankelijke informatie op één A4, waarbij door consumenten vastgestelde informatie wordt geboden. Consumenten kunnen immers zelf het beste bepalen welke informatie zij waardevol vinden bij het maken van een keuze. Gedurende 2018 werkte Privacy First aan dit initiatief samen met de Volksbank en andere partners uit de financiële sector.

PSD2-me-niet-register

Privacy First is verbaasd dat er geen aandacht is geweest voor de rol van “bijzondere persoonsgegevens” in transactiedata. Deze gegevens mogen alleen onder strikte voorwaarden gedeeld worden en moeten dus gefilterd kunnen worden. Ook consumenten die niet willen dat hun gegevens door anderen worden gedeeld met financiële dienstverleners moeten de mogelijkheid krijgen dit te voorkomen. Daarom wil Privacy First een opt-out register voor PSD2, vergelijkbaar met het bel-me-niet-register. Tijdens de uitzending van Radar kondigde Privacy First aan het initiatief voor dit voorstel te nemen, waarbij wij ernaar streven dit met de financiële sector en politiek verder te ontwikkelen. Het doel daarbij is dat het gebruik van een opt-out register verplicht wordt gesteld. De Europese PSD2-richtlijn zal hiervoor aangepast moeten worden.

[1] Aanvullende informatie: het gaat om alle transactiedata. Hoe ver deze gegevens terug gaan verschilt per bank. Zie het overzicht van de Consumentenbond: Meerderheid bewaart rekeningafschriften ten minste 5 jaar https://www.consumentenbond.nl/betaalrekening/meerderheid-bewaart-rekeningafschriften-ten-minste-5-jaar.

[2] Aanvullende informatie: dit is opgenomen in artikel 9 AVG en art. 22 UAVG. Kortgezegd is de verwerking van bijzondere persoonsgegevens verboden, tenzij. Zie https://wetten.overheid.nl/BWBR0040940/2018-05-25.

"Met kentekencamera’s binden politie en justitie de strijd aan met criminelen. Maar de camera’s boven en langs (snel)wegen registreren de gegevens van élke weggebruiker. Informatie die, zo is de bedoeling, straks vier weken lang bewaard mag worden. Privacy-organisaties zijn hier mordicus tegen en bereiden een rechtszaak voor.

Voortvluchtige criminelen, autodieven, inbrekers. Het zogeheten ANPR-systeem moet de kans dat de politie ze aanhoudt, aanmerkelijk vergroten. ANPR staat voor automatic numberplate recognition. Kort gezegd: nummerplaatherkenning. De camera’s maken opnames van kentekens. Die worden vergeleken met gegevens in politiecomputers over mensen die worden gezocht of boetes hebben openstaan. Komt de naam in de politiebestanden voor, dan kan de automobilist beboet of aangehouden worden.

De camera’s hangen al jaren boven snelwegen, op dit moment zijn het er naar schatting 450. Daarnaast zijn ongeveer 150 politieauto’s voorzien van mobiele ANPR-camera’s. En sinds dit jaar zijn provinciale wegen verspreid over het hele land voorzien van tweehonderd ANPR-camera’s. (...)

Wetsvoorstel

Tot nog toe worden de miljoenen kentekengegevens van weggebruikers die in geen enkel bestand voorkomen onmiddellijk, of in ieder geval binnen 24 uur gewist. Maar op aandringen van politie en justitie keurden Tweede en Eerste Kamer vorig jaar een wetsvoorstel goed dat voorziet in het bewaren van gegevens voor een periode van vier weken. Hierdoor kan de politie langer gebruikmaken van de gegevens bij de opsporing van een misdrijf of voor de aanhouding van voortvluchtige personen.

Gegevens

Privacyvoorvechters waarschuwen dat ook onschuldige burgers in de systemen van politie belanden. Zoals Privacy First, een onafhankelijke stichting met als doel het bevorderen van het recht op privacy. Directeur Vincent Böhre is er honderd procent van overtuigd dat de nieuwe wet de rechten van burgers schendt. “Het gaat om honderden camera’s die gegevens van weggebruikers registreren. Als je die massaal voor een periode van een maand opslaat voor opsporing en vervolging, dan behandel je de hele bevolking bij voorbaat als potentiële criminelen. Of als terroristen, want de databank zal ook door de AIVD gebruikt worden. Zij krijgt rechtstreeks toegang tot die databank”, aldus Böhre.

Maar als ik niks te verbergen heb, dan is het toch niet erg dat mijn gegevens worden opgeslagen?
Böhre: “Laat ik het omdraaien. Als je niets te verbergen hebt, dan ben je onschuldig, en dan hoeven je gegevens ook niet te worden opgeslagen. Mensen die niks te verbergen hebben, moeten buiten het vizier van politie en justitie blijven en zich in alle vrijheid door Nederland kunnen begeven en reizen. Nu is het zo dat als je niet op een zoeklijst van politie en justitie staat je gegevens binnen 24 uur worden gewist. Daar kunnen we mee leven, al zou onmiddellijk wissen beter zijn.”

Inwerkingtreding

De nieuwe wet, die het opslaan van gegevens voor maximaal vier weken moet bestendigen, is nog niet van kracht. De Raad van State heeft het uitvoeringsbesluit dat minister Ferdinand Grapperhaus (Justitie en Veiligheid) eerder dit jaar nam onlangs van advies voorzien. “Wij hebben dat advies inderdaad ontvangen”, zegt een woordvoerder van het ministerie. “Over de inhoud ervan kunnen we nu nog geen mededelingen doen. Ook over de datum van inwerkingtreding kunnen we niets zeggen. Daarover moet nog besluitvorming plaatsvinden.” (...)

Rechtszaak

Böhre vreest dat het aantal ANPR-camera’s de komende jaren alleen maar zal toenemen. “Hoe ver willen we gaan met dit soort technologie? Nogmaals, ik vind dat we moeten proberen om de samenleving zo in te richten dat onschuldige burgers zo veel mogelijk buiten het vizier van opsporings- en inlichtingendiensten blijven en dat ze zich vrij kunnen wanen.”

Zodra bekend is hoe de nieuwe wet er precies uit zal zien, spant Privacy First samen met het Platform Bescherming Burgerrechten een rechtszaak aan. “We verwachten dat andere organisaties zich bij ons aansluiten.”

Bron: BN/DeStem 17 november 2018: https://www.bndestem.nl/breda/gegevens-langer-opslaan-mensen-moeten-buiten-het-vizier-van-justitie-kunnen-blijven~a1bd3356/.

Op 28 januari 2019 (de Europese Dag van de Privacy) worden door Stichting Privacy First de jaarlijkse Nederlandse Privacy Awards uitgereikt.

Er zijn 4 categorieën waarvoor inschrijvingen genomineerd kunnen worden:

1. categorie Consumentenoplossingen (van bedrijven voor consumenten)

2. categorie Bedrijfsoplossingen (binnen een bedrijf of business-to-business)

3. categorie Overheidsdiensten (van de overheid voor burgers)

4. Aanmoedigingsprijs voor een baanbrekende technologie of persoon.

“De Privacy Award is de belangrijkste prijs in Nederland voor organisaties en bedrijven die op een positieve manier met privacy willen omgaan. Privacy als kans in plaats van obstakel. Dit jaar zal de jury extra nadruk leggen op het feit dat privacy meer moet zijn dan informed-consent en de controle geven aan de burger. Veel meer zelfs”, aldus Bart van der Sloot, voorzitter van de onafhankelijke jury.

Voorwaarden voor deelname

Voorwaarde voor deelname is dat u reeds met uw privacy-innovatie aan de slag bent. U bent de ideefase voorbij en kunt al iets van het project in uitvoering laten zien. U zorgt met uw project voor inspiratie bij andere organisaties waardoor privacy niet wordt gezien als een belemmering, maar als een kans!

De eerste selectie bestaat uit een screening waarop met de volgende zaken wordt omgegaan:

a) Het hebben van een privacy verantwoordelijke (FG, PO) in de organisatie

b) Toepassen van een privacy policy

c) Toepassen van risico analyse(s)

d) Privacy awareness in de organisatie

e) Een inzichtelijk privacybeleid en communicatie hiervan.

Vervolgens worden de deelnemers die genomineerd worden, gescreend op zaken als:

f) Innovatief vermogen: het product, proces of dienst biedt een noviteit op privacygebied en heeft zich in de markt nog niet technisch en/of commercieel bewezen;

g) Maatschappelijke impact: de innovatie levert een bijdrage aan privacy en komt de bescherming van persoonsgegevens en het individu ten goede;

h) Focus: het product, proces of dienst levert in grote mate toegevoegde waarde aan de markt/consument;

i) Zelfredzaamheid: het product, proces of dienst is binnen een reële termijn (ca 3 jaar) economisch realiseerbaar. Er is een businessmodel.

Daarnaast bestaat de mogelijkheid dat de jury (vertrouwelijk) een aangekondigd bedrijfsbezoek aan de genomineerde zal brengen.

Bepalen van de genomineerden

Organisaties kunnen zich t/m zondag 14 oktober 2018 aanmelden voor de Awards door een email met korte toelichting over het betreffende Privacy Project en antwoord op bovengenoemde punten a) t/m i) te sturen naar Privacy First via Dit e-mailadres wordt beveiligd tegen spambots. JavaScript dient ingeschakeld te zijn om het te bekijken.. Uiterlijk begin december 2018 hoort u of u tot de genomineerden behoort. Indien u genomineerd wordt ontvangt u van Privacy First een uitnodiging om een korte pitch tijdens de Awards-uitreiking voor te bereiden.

Voorschriften pitch

● Maximaal 3 minuten

● U gebruikt een Powerpoint presentatie (maximaal 3 sheets)

● De presentatie bevat in ieder geval de volgende onderdelen:

   o Organisatienaam

   o Privacy project omschrijving

   o Doel en behaalde resultaten.

Jury

De jury bestaat uit onafhankelijke privacy-experts uit diverse sectoren:

> Bart van der Sloot, senior researcher, Universiteit Tilburg (jury-voorzitter)
> Bas Filippini, oprichter en voorzitter Privacy First
> Paul Korremans, data protection & security professional, Comfort Information Architects 
   (tevens bestuurslid Privacy First)
> Marie-José Bonthuis, eigenaar IT’s Privacy
> Esther Janssen, advocaat Informatierecht en grondrechten, bureau Brandeis
> Esther Keymolen, techniekfilosoof, TILT, Universiteit Tilburg
> Matthijs Koot, senior security specialist, Secura BV
> Marc van Lieshout, senior onderzoeker TNO en zakelijk directeur PI.lab
> Wendeline Sjouwerman, privacy specialist lokale overheden en zorg.

Om te garanderen dat de verkiezing van de Awards objectief verloopt, is het niet toegestaan dat de jury een deelname beoordeelt van de eigen organisatie.

Privacy First organiseert de Nederlandse Privacy Awards met steun van Stichting Democratie & Media, in samenwerking met ECP. Klik HIER voor een impressie van de Nederlandse Privacy Awards 2018. Wilt u graag partner of sponsor van de Nederlandse Privacy Awards worden? Neem dan contact op met Privacy First!

Ondanks het succesvolle referendum over de nieuwe Wet op de inlichtingen- en veiligheidsdiensten heeft de Eerste Kamer deze week het raadgevend referendum afgeschaft. Privacy First betreurt dit en verwacht dat dit de bestaande kloof tussen burger en bestuur verder zal vergroten. Ook zal het leiden tot verder verlies van vertrouwen in de nationale politiek. Dit verzwakt onze democratie en, zonder de corrigerende werking van het referendum, ook onze rechtsstaat.

Een nationaal referendum is een vorm van intern zelfbeschikkingsrecht: het collectieve recht van een nationale bevolking om haar eigen democratische toekomst te bepalen. Zoals alle mensenrechten dient dit recht voortdurend te worden bevorderd. Een referendum is bovendien een democratische verworvenheid die niet zomaar, zonder legitieme aanleiding en objectieve rechtvaardiging, kan worden afgeschaft. Dit is mogelijk in strijd met internationaal recht, in het bijzonder het zogeheten regressieverbod: het verbod om democratisch verworven rechten van burgers zomaar terug te draaien. Eerder dit jaar heeft Privacy First de Eerste en Tweede Kamer hier tevergeefs op geattendeerd. Bij gelegenheid zal Privacy First de rücksichtslose afschaffing van het raadgevend referendum dan ook aankaarten bij de Verenigde Naties en de Nederlandse regering hierover ter verantwoording laten roepen.

Op de vroegere DDR na is Nederland nu het enige land ter wereld dat het referendum na invoering weer heeft afgeschaft. Nederland heeft hiermee de historische schijn tegen en loopt mede daardoor een verhoogde kans op internationale kritiek.

Na Athene (democratie 1.0) en onze huidige 19e-eeuwse parlementaire democratie (2.0) is het in de optiek van Privacy First hoog tijd voor meer burgerparticipatie en democratische vernieuwing: Shared Democracy, democratie 3.0. Evenals de Staatscommissie Parlementair Stelsel pleit Privacy First daarbij voor de invoering van een bindend correctief referendum ter versterking van onze vrije democratie. Privacy First zal zich hier de komende jaren voor blijven inzetten.

"Enkele Nederlandse banken en fintechs werken samen met Stichting Privacy First aan een PSD2-keurmerk. Daarmee willen de bedrijven aan consumenten duidelijk maken wie ze hun data kunnen toevertrouwen. De Volksbank schaart zich als een van de eersten achter het initiatief. Op welke behoefte spelen de betrokkenen in?

De Europese betaalrichtlijn PSD2 levert behalve innovatie ook privacyzorgen op. De in januari in werking getreden richtlijn – Nederland volgt waarschijnlijk deze zomer met eigen wetgeving – zorgt ervoor dat consumenten bedrijven toegang kunnen geven tot hun bankrekening en (financiële) data. De vraag is echter of zij doorhebben privacygevoelige gegevens te delen. Eenmaal gedeeld kunnen banken die data bovendien niet meer ‘terughalen’.

Behalve een voordeel kleeft er dus ook een reëel risico aan PSD2, stelt Privacy First. Samen met enkele Nederlandse banken en fintech-bedrijven werkt de belangenorganisatie daarom aan een keurmerk. De partijen reageren daarmee op een uitspraak van De Nederlandsche Bank. Die zou eerder hebben vastgesteld dat hier behoefte aan is. Terwijl de AVG, de nieuwe Europese privacywet, moet zorgen voor betere bescherming zet PSD2 de achterdeur open, legt Martijn van der Veen van Privacy First uit.

Hoe zien jullie PSD2 vanuit privacy-oogpunt?

Van der Veen: “Het onderwerp privacy is binnen PSD2 veel te lang onderbelicht gebleven. Lang was PSD2 vooral een feestje voor fintechs en gericht op het innoveren van het betalingsverkeer.

“Met PSD2 kunnen partijen onder meer inzage krijgen in je transactiegegevens, bijvoorbeeld voor het krijgen van inzicht over meerdere bankrekeningen heen. Een bank mag die transactiedata niet zomaar verstrekken, daarvoor moet een consument ‘uitdrukkelijke toestemming’ geven. Dat is niet eventjes een vinkje zetten. De persoon moet ‘vrije, specifieke en geïnformeerde’ toestemming geven. Op papier is het dan prima geregeld. Maar de impact van PSD2 op de privacy kan veel groter zijn dan de vraag of iemands toestemming is geregistreerd.

“Onze grootste zorg is wat er gebeurt met de gegevens zodra die bij een dienstverlener liggen. Wat doen die ermee? Denk maar niet dat diensten beperkt blijven tot het tonen van transactiegegevens, bedrijven willen iets doen met die grote hoeveelheid gegevens die in hun bezit komt. Denk aan het doen van aanbiedingen, nieuwe diensten en vergelijkingen. Daarvoor willen ze gegevens koppelen, relateren en zoeken naar patronen. En uiteraard zit daar ook een verdienmodel aan vast.

“Een verkeerde framing is dat het ‘maar’ transactiegegevens zijn. Je kunt er ontzettend veel uit afleiden over iemands leven. Als je bij een bank drie jaar terug kan kijken, dan ontvangt de aanbieder ook direct drie jaar aan transactiedata. Aan rekeningnummers kan je aflezen of iemand vaak medische ondersteuning gebruikt, waar een persoon vaak komt en wat iemands leefpatroon is. Uit terugkerende overboekingen leid je af of iemand lid is van een religieuze organisatie of vakbond. Dat zijn gegevens die met goede redenen niet gebruikt mogen worden.

“Het gekke is, waar iedereen vanwege de AVG zijn best doet om zijn privacybescherming op orde te krijgen zet PSD2 de achterdeur wagenwijd open.”

Maar waarom is een keurmerk nodig?

“Het Privacy Keurmerk PSD2 moet consumenten helpen bij hun keuze voor een aanbieder. Het geeft informatie over of de aanbieder goed met de persoonlijke gegevens om zal gaan en te vertrouwen is. Daarbij willen we de open normen van de wet inkleuren. Nu bepaalt een aanbieder wat een fatsoenlijke bewaartermijn van gegevens is. En hoe snel hij reageert op klachten. Het is maar de vraag of het belang van de consument dan voorop staat. Het keurmerk informeert consumenten en stimuleert aanbieders om het niveau van privacybescherming te verhogen. Voor beide partijen is dat waardevol omdat dit het vertrouwen in een dienstverlener verhoogt.” (...)

Lees verder bij Emerce.

Kabinet wil referendum afschaffen. Privacy First trekt aan de bel.

Afschaffing referendum is mogelijk in strijd met internationaal recht.

Ondanks het succesvolle referendum over de nieuwe Wet op de inlichtingen- en veiligheidsdiensten wil het Nederlandse kabinet het raadgevend referendum afschaffen. Een nationaal referendum is echter een democratische verworvenheid die niet zomaar, zonder legitieme aanleiding, kan worden afgeschaft. Dergelijke afschaffing is in dat geval mogelijk in strijd met internationaal recht. Begin dit jaar heeft Privacy First de Tweede Kamer hier tevergeefs op geattendeerd. Vervolgens heeft Privacy First een vergelijkbare waarschuwing gericht aan de Eerste Kamer, waar relatief meer juridische (inclusief internationaalrechtelijke) kennis aanwezig is. De Eerste Kamer nodigde daarop Privacy First uit voor deelname aan de expert-meeting over de Wet intrekking raadgevend referendum op 27 maart jl. Wegens buitenlands verblijf was Privacy First die dag echter verhinderd, waarop de Eerste Kamer (mede op advies van Privacy First) prof. Fred Soons uitnodigde om de internationaalrechtelijke aspecten rond afschaffing van het raadgevend referendum te belichten, waaronder met name het aspect van het internationaal zelfbeschikkingsrecht in interne (democratische) zin. De schriftelijke inbreng (position paper) van prof. Soons vindt u HIER in pdf. Van de expert-meeting in de Eerste Kamer is een volledige videoregistratie en schriftelijk verslag beschikbaar. Begin dit jaar vond in de Tweede Kamer een vergelijkbare, kritische expert-meeting plaats (video). Naar aanleiding van beide expert-meetings zijn door de Eerste Kamer op 24 april jl. talloze kritische vragen aan het kabinet gesteld, waaronder de vraag of intrekking van het raadgevend referendum in strijd is met het zogeheten regressieverbod in het Internationaal Verdrag inzake Economische, Sociale en Culturele Rechten. Privacy First ziet de beantwoording van deze vragen met belangstelling tegemoet.

Nieuw referendum over Donorwet

Terwijl de Eerste Kamer zich de komende weken buigt over de mogelijke afschaffing van het raadgevend referendum, is reeds een nieuw referendum in de maak: het referendum over de nieuwe, controversiële Donorwet. Op https://referendum.nl kunt u uw steunbetuiging voor dit referendum indienen. De weerstand onder de Nederlandse bevolking tegen de nieuwe Donorwet is groot. Privacy First verwacht dan ook dat het benodigde aantal handtekeningen voor een referendum over deze wet spoedig zal kunnen worden behaald.

Hieronder volgt de volledige tekst van onze brief aan de Eerste Kamer d.d. 8 maart 2018:  

Geachte Kamerleden,

De komende periode debatteert u over de mogelijke intrekking van de Wet raadgevend referendum. In dit verband attendeert Stichting Privacy First u hierbij graag op een internationaalrechtelijk aspect dat tot nu toe niet bij het parlementaire debat lijkt te zijn betrokken, maar dat niettemin uiterst relevant is: het referendum als een vorm van collectief zelfbeschikkingsrecht. Dit recht behoort van oudsher tot de krachtigste en meest omvattende rechten ter wereld en geniet brede internationale bescherming. Nationale inperking van dit recht kan voor Nederland dan ook de nodige repercussies hebben. Hieronder lichten wij dit kort toe.

Referendum als een vorm van democratisch zelfbeschikkingsrecht: relevante VN-verdragen

Internationaalrechtelijk gezien is een nationaal referendum een vorm (of uiting) van democratisch zelfbeschikkingsrecht, d.w.z. het collectieve recht van een volk c.q. nationale bevolking om haar eigen toekomst te bepalen. Dit recht is o.a. vastgelegd en ontwikkeld onder art. 1 van het Internationaal Verdrag inzake Burgerrechten en Politieke Rechten (IVBPR) en het identieke art. 1 van het Internationaal Verdrag inzake Economische, Sociale en Culturele Rechten (IVESCR). Onder het IVBPR kan over de schending van dit recht een klacht worden ingediend bij het toezichthoudende verdragsorgaan: het VN Mensenrechtencomité in Genève. Tevens dient Nederland zich periodiek bij dit VN-comité te verantwoorden over de algehele Nederlandse naleving van het IVBPR in brede zin, inclusief (indien aan de orde) de Nederlandse naleving van het collectieve recht op zelfbeschikking van de Nederlandse bevolking. Mocht uw Kamer dus besluiten tot afschaffing van het raadgevend referendum, dan ligt het in de lijn der verwachting dat de Nederlandse regering zich hierover bij de Verenigde Naties zal moeten verantwoorden. De betreffende Nederlandse periodieke sessie bij het VN Mensenrechtencomité staat reeds geagendeerd en zal waarschijnlijk later dit jaar of begin 2019 plaatsvinden. Hierbij zal overigens ook de nieuwe Wet op de inlichtingen- en veiligheidsdiensten (‘Sleepwet’) kritisch aan de orde komen, zo heeft het VN Mensenrechtencomité reeds in mei 2017 bekendgemaakt.

Mogelijke schending art. 1 IVBPR en art. 1 IVESCR door afschaffing referendum

Bovenstaande geldt tevens voor het IVESCR en het toezichthoudende IVESCR-Comité, dat eveneens in Genève zetelt. Onder dit verdrag dient het collectieve recht op zelfbeschikking continu te worden bevorderd en ‘progressief te worden verwezenlijkt’. Zogeheten ‘retrogressive measures’ (zoals afschaffing van een bestaand recht op een referendum) “would require the most careful consideration and would need to be fully justified”, aldus het IVESCR-Comité in haar General Comment No. 3 (The nature of States parties obligations under the ICESCR). Dit betekent dat Nederland het raadgevend referendum slechts op internationaalrechtelijk geoorloofde wijze kan afschaffen indien dit na uiterst zorgvuldige afwegingen gebeurt en (objectief aantoonbaar) volledig gerechtvaardigd is. In casu lijkt hiervan echter geen sprake. Daarmee vormt afschaffing van het raadgevend referendum een mogelijke schending van art. 1 IVESCR. Onder het Facultatief Protocol bij het IVESCR zal hierover een individuele of collectieve klacht bij het IVESCR Comité kunnen worden ingediend. Tevens zal deze kwestie aan de orde kunnen komen bij de periodieke beoordeling van de algehele Nederlandse naleving van het IVESCR door het IVESCR-Comité. Een daaropvolgend kritisch oordeel van het IVESCR Comité zal vervolgens – naar alle waarschijnlijkheid – door de Nederlandse rechterlijke macht gevolgd en overgenomen worden. Hetzelfde geldt voor een vergelijkbaar kritisch oordeel van het VN Mensenrechtencomité inzake mogelijke schending van art. 1 IVBPR, aangezien het collectieve zelfbeschikkingsrecht onder beide verdragen op vergelijkbare wijze wordt geïnterpreteerd en toegepast.

Kans op internationale kritiek

Op de vroegere DDR na is Nederland het enige land ter wereld dat het referendum na invoering weer lijkt te willen afschaffen. Nederland heeft daarmee de historische schijn tegen en loopt mede daardoor een verhoogde kans op internationale kritiek. Privacy First wenst u dan ook veel wijsheid en visie toe bij uw beraadslagingen.

Hoogachtend,

Stichting Privacy First

Update 11 mei 2018: het kabinet heeft de schriftelijke vragen van de Eerste Kamer inmiddels beantwoord (pdf). Zoals reeds door Privacy First was verwacht ontkent het kabinet dat afschffing van het raadgevend referendum strijdig is met het IVESCR: "[H]et kabinet [acht] het wetsvoorstel verenigbaar met het IVESCR", aldus minister Ollongren op p. 24. Daarmee erkent het kabinet dat het IVESCR (d.w.z. het collectieve zelfbeschikkingsrecht onder art. 1) op deze kwestie van toepassing is. Dit vergemakkelijkt de indiening van een toekomstige klacht hierover bij het IVESCR Comité in Genève. Privacy First behoudt zich in dit verband alle rechten en mogelijkheden voor.

Update 15 juni 2018: het kabinet heeft vandaag herhaald dat het de mogelijke strijdigheid van afschaffing van het referendum niet wenst te laten toetsen aan het regressieverbod onder het IVESCR (zie Nadere memorie van antwoord (pdf), p. 12). Dergelijke toetsing wordt door het kabinet blijkbaar - terecht - gevreesd.

Nederlandse bevolking verwerpt nieuwe Wet op de inlichtingen- en veiligheidsdiensten. Deze wet dient nu te worden aangepast. Zo niet, dan volgt een rechtszaak.

Historische streep in het zand

Woensdag 21 maart 2018 is een historische dag: voor het eerst in de geschiedenis heeft een nationale bevolking zich bij referendum tegen een wet op de geheime diensten uitgesproken. Bij dit referendum mocht de Nederlandse bevolking stemmen over de nieuwe Wet op de inlichtingen- en veiligheidsdiensten, de zogeheten Sleepwet. Inmiddels is bekend dat een overduidelijke meerderheid TEGEN deze wet is. Privacy First beschouwt dit als een historische overwinning en hoopt dat dit tot een sneeuwbal-effect in andere landen zal gaan leiden, tégen de ontwikkeling richting controle-maatschappijen, tégen massa surveillance en vóór betere wetgeving die de vrijheid van onschuldige burgers wél respecteert.

Bezwaren tegen de Sleepwet

De voornaamste bezwaren van Privacy First tegen de Sleepwet richten zich tegen de nieuwe mogelijkheden die de wet biedt om het internetverkeer en de communicatie van onschuldige burgers massaal te kunnen aftappen, deze data jarenlang te kunnen opslaan en zelfs ongezien te kunnen uitwisselen met buitenlandse geheime diensten. Deze en andere bezwaren van Privacy First staan HIER alfabetisch gerangschikt. De vrijheidsbeperkende Sleepwet staat bovendien niet op zichzelf maar is onderdeel van een bredere negatieve tendens, zo is te lezen in deze recente column van Privacy First voorzitter Bas Filippini.

Succesvol referendum

Vanaf het allereerste moment heeft Privacy First de totstandkoming van het referendum tegen de Sleepwet gesteund. Naast Privacy First waren de afgelopen maanden ook talloze andere maatschappelijke organisaties volop actief om de bevolking kritisch over de Sleepwet te informeren. Het meeste werk is echter verricht door de initiatiefnemers achter het referendum zelf: de UvA-studenten die eind 2017 voldoende handtekeningen verzamelden om dit referendum mogelijk te maken. Voor deze unieke prestatie reikte Privacy First begin dit jaar een Nederlandse Privacy Award aan hen uit. Ook heeft Privacy First recentelijk alle lokale politieke partijen in heel Nederland opgeroepen om stelling tegen de Sleepwet te nemen. Wij zijn daarnaast zoveel mogelijk actief geweest om kritische massa te genereren middels interviews op de radio, televisie, kranten, deelname aan publieksdebatten, eigen advertenties en social media. Tevens organiseerde Privacy First in Amsterdam een kritisch publieksdebat over de Sleepwet met diverse prominente sprekers, waaronder onze advocaat Otto Volgenant en Nationaal Coördinator Terrorismebestrijding en Veiligheid Dick Schoof. Dit debat is meerdere malen uitgezonden door NPO Politiek en staat ook online op onze website en YouTube. Zelfs volgens voorstanders van de Sleepwet werd dit referendum gekenmerkt door goede inhoudelijke discussies en een scherp geïnformeerd, kritisch publiek. Ook in die zin is dit referendum een groot succes, een feest voor de democratie en voor het Nederlandse privacybewustzijn. Van afschaffing van het referendum mag na vandaag dan ook geen sprake meer zijn.

Wet dient te worden verbeterd. Zo niet: rechtszaak.

De consequentie van het referendum over de Sleepwet is helder: deze wet dient direct te worden aangepast en verbeterd. Zo niet, dan volgt een grootschalige rechtszaak van Privacy First en diverse mede-eisers (organisaties) om de wet op meerdere onderdelen onrechtmatig te laten verklaren en door de rechter buiten werking te laten stellen. Privacy First en coalitiegenoten deden dit eerder met succes bij de buitenwerkingstelling van de Wet telecom-bewaarplicht in 2015. Een vergelijkbare rechtszaak tegen de Sleepwet heeft Privacy First de laatste jaren herhaaldelijk bij zowel het kabinet als de Eerste en Tweede Kamer in het vooruitzicht gesteld. De uitslag van het huidige referendum vormt daarbij een enorme steun in de rug. De dagvaarding tegen de Sleepwet is inmiddels klaar en onze advocaten staan in de startblokken. De keuze is nu dus aan het kabinet: koers wijzigen of bakzeil halen!

Tijdens een persbijeenkomst over PSD2 is het Privacy keurmerk PSD2-initiatief gepresenteerd. Met het keurmerk moeten financiële aanbieders en fintechs worden gestimuleerd om de privacy van consumenten centraal te stellen.

Volksbank

Als je de eindjes met moeite aan elkaar kunt knopen, krijg je op den duur lichamelijke klachten, aldus twee Utrechtse huisartsen in het AD/Utrechts Nieuwsblad van 7 maart jl. Wie een gezond leven wil, moet daarom ook financieel gezond zijn. Grip hebben op je eigen financiën en alle gegevens die daarbij horen, past daarbij. Op beide gebieden biedt de Volksbank graag een helpende hand.

De nieuwe PSD2-wetgeving maakt de weg vrij voor betaalapps van nieuwe partijen. Banken hebben niet langer het alleenrecht op het aanbieden van betaaldiensten. Dat lijkt goed nieuws voor de consument. Maar er is ook een keerzijde. Een klant die zijn data deelt met zo’n nieuwe aanbieder moet er rekening mee houden dat hij privacygevoelige gegevens deelt. De bank kan deze gegevens niet meer terughalen, dus de consument staat er alleen voor als hij spijt heeft.

De Consumentenbond waarschuwde recentelijk dat er nu al uit commerciële motieven op grote schaal persoonlijke data worden verzameld. Met PSD2 gaat dit alleen maar toenemen. Uiteindelijk is 90 dagen toegang voldoende om een digitaal profiel op te stellen dat verhandeld kan worden. De Volksbank wil dat niet en vindt dat de data van de klant bij de bank veilig moet zijn: "Dat betekent dat we geen data van klanten verkopen, zowel op individueel als geaggregeerd niveau. Wij verdienen ons geld als bank en niet met het verkopen van data van onze klanten."

De Volksbank ziet het als haar taak om klanten in de nieuwe veranderde omgeving te helpen op een veilige en weloverwogen manier met de eigen data om te gaan. Door goed voor te lichten (gratis is nooit echt gratis) maar ook door zelf aanvullende maatregelen te nemen:

• De hoofdschakelaar die het zelfbewustzijn vergroot; data delen wordt een weloverwogen beslissing. De hoofdschakelaar staat standaard op ‘uit’. Een klant die zijn data wil delen moet eerst de hoofdschakelaar omzetten, voordat hij de eerste keer opdracht aan de bank kan geven zijn data aan individuele partijen door te geven. Vervolgens moet de klant per partij ook apart opdracht geven. De klant kan per partij het delen van data tussentijds stopzetten. Of in één keer met de hoofdschakelaar, waarmee direct de toegang van alle partijen wordt gestopt.
• Samen met Privacy First, andere banken, KPMG en fintechs wordt er een PSD2-keurmerk ontwikkeld. Hiermee komen deze organisaties tegemoet aan de oproep van DNB die constateert dat dit nog ontbreekt en er behoefte aan is. Bij ons weten zijn we het eerste land dat zich hiermee bezig houdt. Met het PSD2-keurmerk moet het voor consumenten in één keer duidelijk worden aan wie zij hun data wel/niet kunnen toevertrouwen. De Volksbank werkt hard aan de verdere ontwikkeling, zodat het gereed is zodra de Europese PSD2-richtlijn in Nederland van kracht wordt.

Privacy First

Stichting Privacy First steunt het Privacy Keurmerk bij PSD2. Privacy First ziet het graag uitgroeien tot een internationaal keurmerk met draagvlak bij banken, fintechs, aanbieders, toezichthouders en consumentenorganisaties.

PSD2 biedt voordelen maar helaas ook risico's voor de privacy van mensen. Mensen zijn méér dan consumenten. Privacy First betwijfelt of de in PSD2 genoemde maatregelen om de gegevens en daarmee privacy van mensen te beschermen afdoende zullen zijn. Zo steunt PSD2 voor de bescherming van persoonsgegevens erg op de nieuwe Algemene Verordening Gegevensbescherming (AVG). Deze verordening is momenteel nog niet van kracht en we weten nog niet welke effecten PSD2 in de praktijk zal hebben of hoe het toezicht eruit zal gaan zien. Veel organisaties zijn nog niet klaar om te voldoen aan alle eisen. Ze zullen echter niet wachten met het aanbieden van hun diensten. Ook toezichthouders zijn niet klaar om alle privacyaspecten te handhaven. Met PSD2 wil men gaan vliegen zonder dat de parachute is gecontroleerd.

We hopen dat het keurmerk financiële aanbieders en vooral fintechs stimuleert om verder te gaan en de consument als mens centraal te stellen. We willen dat de eisen van het keurmerk ieder jaar hoger worden. We willen dat aanbieders oog hebben voor de 'informatie achter de informatie':

• Onthulling van gedrag en gegevens door anderen
• Diensten met als achterliggend doel gegevens te verzamelen (oneigenlijke toepassing)
• Het afleiden van gegevens, zoals transactiedata waaruit bijzondere persoonsgegevens afgeleid kunnen worden.

We roepen fintechs op verder te gaan met de mogelijkheden om gegevens te beperken. Denk aan het uitsluiten van transactiedata die kunnen wijzen op religie, politieke voorkeur en gezondheid. Maar ook beperking van de duur van de transactiedata.

Tevens gepubliceerd op https://www.privacy-web.nl/nieuws/privacy-keurmerk-psd2-initiatief-gepresenteerd.

Hieronder treft u de voornaamste bezwaren van Privacy First aan tegen de nieuwe Wet op de inlichtingen en veiligheidsdiensten (Wiv2017 of 'Sleepwet'), in alfabetische volgorde:

A. Aftappen 
Door de bevoegdheid van 'onderzoeksopdrachtgerichte interceptie' - in de volksmond ook wel sleepnet genoemd - wordt het mogelijk voor de inlichtingen- en veiligheidsdiensten (geheime diensten) om het internetverkeer van grote groepen mensen tegelijk af te tappen. Zo kan er een tap worden geplaatst op een bepaalde gemeente, een wijk, buurt of straat, indien daar een ‘target’ van de geheime dienst woont. Daarbij wordt de communicatie van onschuldige burgers verzameld door middel van een digitaal sleepnet. Privacy First is van mening dat de gegevens van onschuldige burgers niet thuis horen bij de inlichtingendiensten. Bovendien neemt de effectiviteit van de inlichtingendiensten af door de te grote hoeveelheid aan vergaarde data.

B. Buitenland
Gegevens die vergaard zijn met het sleepnet mogen onder de nieuwe Wet op de inlichtingen- en veiligheidsdiensten (Sleepwet) ongeëvalueerd met het buitenland gedeeld worden. Dit betekent dat de Nederlandse inlichtingendiensten ongeziene en ongeselecteerde gegevens (van onschuldige burgers) met buitenlandse geheime diensten kunnen delen. Op het gebruik van deze gegevens is vervolgens geen toezicht meer te houden door de Nederlandse diensten.

Bewaartermijnen
Ongeëvalueerde gegevens die door middel van het sleepnet zijn verzameld, mogen drie jaar worden bewaard. Deze ongeëvalueerde gegevens mogen ook ongezien met het buitenland worden gedeeld. Gegevens die de inlichtingen- en veiligheidsdiensten relevant hebben bevonden, mogen bewaard worden zolang deze nog relevant zijn.

C. CTIVD
Het oordeel van de onafhankelijke toezichthouder CTIVD (Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten) die achteraf toetst of de bevoegdheden rechtmatig zijn ingezet, is niet bindend. De minister kan de bevindingen en aanbevelingen naast zich neer leggen en eventueel doorgaan met het onrechtmatig inzetten van bevoegdheden.

Chilling effect
De nieuwe wet kan er voor zorgen dat mensen zich (onbewust) anders gaan gedragen dan ze zich zouden gedragen in een vrije omgeving. Dit kan een negatief effect hebben op de uitoefening van andere grondrechten dan het recht op privacy, zoals de vrijheid van meningsuiting of de vrijheid van vereniging, vergadering en demonstratie.

D. Databanken
De nieuwe wet maakt directe, automatische toegang tot databanken in de gehele private én publieke sector mogelijk. Hiermee kunnen de inlichtingendiensten rechtstreeks toegang krijgen tot allerlei gevoelige databanken bij bedrijven, overheidsinstanties en andere organisaties, hetzij middels informanten of agenten (infiltranten) bij die organisaties, hetzij middels geheime overeenkomsten.  

Decryptiebevel
Door de nieuwe wet dienen versleutelde data bij bedrijven, overheden of particulieren (bijvoorbeeld communicatiedata) op verzoek van de geheime dienst ontsleuteld te worden. Weigering om aan een decryptiebevel te voldoen wordt bestraft met 2 jaar hechtenis.

DNA-databank
Met de invoering van de wet krijgen de inlichtingen- en veiligheidsdiensten een eigen DNA-databank. Ze mogen het DNA verzamelen van zogenoemde ‘targets’ (doelwitten) en ‘non-targets’ (onschuldige burgers). Om dit DNA te verzamelen mag de inlichtingen- en veiligheidsdienst zich o.a. toegang verschaffen tot een besloten plaats, bijvoorbeeld een kantoor of woning. De Groene Amsterdammer heeft een zeer uitgebreid stuk geschreven over de “DNA Verzameldienst”, dit is hier te lezen.

E. Europees Verdrag voor de Rechten van de Mens (EVRM)
Het recht op privacy is een mensenrecht: dit recht wordt beschermd door artikel 8 van het EVRM. Privacy First is van mening dat de nieuwe Sleepwet het recht op privacy schendt. Privacy First heeft dan ook een (concept)dagvaarding klaarliggen om de Staat voor de rechter te slepen zodra de Sleepwet in werking treedt. De rechter kan de Sleepwet dan toetsen en (deels) buiten werking stellen wegens schending van art. 8 EVRM.

F. Fake news door Nederlandse overheid
Volgens onze minister van Binnenlandse Zaken Ollongren is het niet noodzakelijk dat de overheid op haar website rijksoverheid.nl neutrale informatie plaatst over het Sleepwet-referendum. Hierdoor wordt er door de overheid geen objectieve informatie verstrekt aan de kiezers.

G. Geautomatiseerde werken
Zoals onder ‘hackbevoegdheid’ en “Internet of Things’ uitgelegd, zullen door de Sleepwet alle apparaten gehackt mogen worden door de geheime diensten.

H. Hackbevoegdheid
Onder de nieuwe wet krijgen de inlichtingendiensten de mogelijkheid om een target te hacken via onschuldige derden. Dit houdt in dat de inlichtingendienst door het hacken van een derde (tante, zus, vriend, vriendin, echtgenoot, opa, collega, buurman, werk, overheid, bedrijf etc.) toegang krijgt tot informatie over het doelwit van de dienst. Dit betekent dat de apparaten van onschuldige burgers gehackt kunnen worden door de diensten. Deze burgers zullen hiervan nooit op de hoogte raken (er geldt hiervoor geen notificatieplicht).

I. Ik heb niks te verbergen
Iedereen heeft recht op een privéleven. De gegevens van onschuldige burgers horen daarom niet thuis bij de inlichtingen- en veiligheidsdiensten. Deze gegevens met onder andere medische informatie, persoonlijke gesprekken, privé emails, zakelijke emails, nieuwsberichten, hobbies, interesses en internet-zoekresultaten dienen daarom goed te worden beschermd. Daarnaast heeft u misschien ‘niets’ te verbergen, maar andere burgers zoals medische professionals, advocaten, activisten, klokkenluiders en journalisten wel.

Internet of Things
Steeds meer apparaten zijn op het internet aangesloten. Al deze apparaten kunnen onder de Sleepwet afgeluisterd of gehackt worden. Te denken valt aan een auto, camera, microfoon, printer maar eventueel ook zelfs een pacemaker. De Sleepwet sluit deze mogelijkheid immers niet uit.

J. Journalisten
De communicatie van journalisten kan met de nieuwe wet worden onderschept, door onder andere de inzet van het sleepnet. De geheime diensten kunnen dan van deze informatie kennis nemen. Dit vormt een bedreiging voor de persvrijheid en het journalistieke brongeheim. Pas achteraf zullen de diensten de informatie die niet noodzakelijk is voor het onderzoek zo snel mogelijk verwijderen.

K. Kabelgebonden interceptie
Onterecht wordt er gespeculeerd dat de inlichtingen- en veiligheidsdiensten momenteel niet op de kabel mogen aftappen en enkel via de ether. De inlichtingen- en veiligheidsdiensten mogen onder de huidige wet een tap plaatsen op de kabel, wanneer dit gericht is op bijvoorbeeld één individu. Met de nieuwe wet krijgen de inlichtingen- en veiligheidsdiensten de bevoegdheid om ongericht en grootschalig de kabel af te tappen (sleepnet).

L. Lubach
Arjen Lubach heeft in zijn uitzendingen van Zondag met Lubach drie items gemaakt over de Sleepwet en waarom het goed is om hier kritisch op te zijn. De filmpjes zijn hier te bekijken: Sleepwet 1, Sleepwet 2 en Sleepwet 3.

M. Mensenrechten
Privacy is een mensenrecht. Dit recht op bescherming van de persoonlijke levenssfeer geldt voor iedereen en wordt door talloze internationale en Europese verdragen gewaarborgd. Door de Sleepwet wordt dit recht massaal geschonden, aangezien de data van grote groepen onschuldige burgers door deze wet zullen worden verzameld, opgeslagen en internationaal uitgewisseld.    

Medisch beroepsgeheim
Door de nieuwe wet kan de medische privacy van patiënten en het medisch beroepsgeheim van artsen niet gegarandeerd worden: de geheime diensten mogen bij iedereen, ook bij artsen en ziekenhuizen, relevante gegevens opvragen en toegang tot hun data-systeem (Elektronisch Patiëntendossier) vragen of dergelijke systemen hacken. Dit kan bovendien leiden tot zorgmijdend gedrag bij patiënten en daarmee tot een bedreiging van de volksgezondheid.

N. Notificatieplicht
De notificatieplicht in de nieuwe wet schiet tekort. Vijf jaar na de inzet van een bevoegdheid onder de Sleepwet dient de betreffende persoon hierover in principe te worden geïnformeerd. Dit geldt echter slechts voor enkele van de nieuwe bevoegdheden. Privacy First is van mening dat de notificatieplicht moet gelden voor de inzet van álle bevoegdheden.

O. Onschuldpresumptie
Met de invoering van de nieuwe wet wordt het onschuldbeginsel omgedraaid. Door het sleepnet wordt potentieel elke burger 'verdacht', zonder concrete aanleiding om die burger te volgen. Daarnaast wordt de kans op false positives (onterechte verdenkingen) bij massale datavergaring erg groot.

P. Privacy
De privacy van onschuldige burgers wordt door de inzet van de Sleepwet geschonden. Zie hiervoor alle andere argumenten.

Q. Queeste naar data
Bij de overheid is een hongerlust naar data ontstaan. Waar landen om ons heen teruggaan naar een gerichte aanpak, gaat Nederland voor Big Data. Hierdoor wordt er steeds meer hooi verzameld en zal de speld steeds moeilijker te vinden zijn. Meer data zorgt niet meteen voor meer veiligheid.

R. Rechter
Een gerechtelijke toets vooraf aan de inzet van de bevoegdheden ontbreekt veelal. Zoals onder “TIB’ uitgelegd, mist de nieuwe toetsingscommissie de onderzoeksbevoegdheden voor effectief en onafhankelijk toezicht.

S. Sleepnet
Zie ‘Aftappen’

Strafbare feiten
Geheime agenten zijn zowel onder de huidige als de nieuwe wet bevoegd om strafbare feiten te plegen. De precieze reikwijdte van deze bevoegdheid is tot op heden echter onbekend. Onder de huidige wet kon deze bevoegdheid nader worden gereguleerd middels een (nooit ingevoerde) Algemene Maatregel van Bestuur (AMvB). De Commissie Dessens adviseerde enkele jaren geleden om die AMvB alsnog in te voeren. In de nieuwe Sleepwet is de grondslag voor deze AMvB echter geschrapt, waardoor sprake blijft van een juridisch vacuüm.

T. TIB
Onafhankelijk toezicht op alle fasen van de inzet van bevoegdheden door de diensten (voor, tijdens en achteraf) is onvoldoende gewaarborgd. Aangezien de inlichtingendiensten heimelijk opereren, kunnen burgers waartegen de bevoegdheden worden ingezet niet zelf bezwaar maken. Hiervoor dient de inzet van bevoegdheden onafhankelijk te worden getoetst. De nieuwe Toetsingscommissie Inzet Bevoegdheden (TIB) toetst vooraf slechts of de minister terecht toestemming heeft gegeven voor de inzet van een relatief zware ('bijzondere') bevoegdheid onder de nieuwe wet. Deze toetsing is met minder waarborgen omkleed dan toetsing door de rechter. Daarnaast heeft de TIB geen eigen onderzoeksbevoegdheden en is compleet afhankelijk van de informatie die hen wordt gegeven. Verscheidene instanties, zoals de Autoriteit Persoonsgegevens, hebben gewaarschuwd dat moet worden voorkomen dat de TIB een ‘stempelmachine’ zal zijn.

T. Terreurschwalbe
Door voorstanders van de Sleepwet zal vaak het argument aangehaald worden dat deze wet aanslagen zal voorkomen, Zondag met Lubach liet dat zien. In andere landen is echter al gebleken dat gericht werken veel effectiever is. De tegenstanders van de Sleepwet zijn het er over eens dat de huidige wet aan vernieuwing toe is, maar eisen ook dat de wet op cruciale punten wordt aangepast en verbeterd.

U. Uitwisseling van gegevens
Zoals onder ‘Buitenland’ omschreven, kunnen de gegevens van onschuldige burgers en journalisten die worden verzameld door de inzet van het sleepnet, ongezien gedeeld worden met buitenlandse geheime diensten.

V. Veiligheid
Onterecht worden privacy en veiligheid tegenover elkaar gezet. In een vrije democratische samenleving gaan privacy en veiligheid hand in hand. Er kan een goede Wet op de inlichtingen- en veiligheidsdiensten worden opgesteld met goede privacywaarborgen, waarbij de informatie van onschuldige burgers niet bij de inlichtingendiensten terecht komt.

W. Waarborgen
De wet geeft te grote bevoegdheden aan de inlichtingen- en veiligheidsdiensten en te weinig privacywaarborgen voor burgers. Na het referendum dient de wet terug naar de tekentafel te gaan, van fatsoenlijke waarborgen te worden voorzien en op de inzet van bevoegdheden te worden herzien.

Z. Zero-days
De inlichtingen- en veiligheidsdiensten hebben de bevoegdheid om gebruik te maken van onbekende zwakke plekken (zogenaamde zero-days) in software. Voor de inlichtingen- en veiligheidsdiensten zijn deze kwetsbaarheden dan bekend, maar voor de makers of fabrikanten van de software niet. De inlichtingen- en veiligheidsdiensten hoeven deze kwetsbaarheid niet te melden aan de fabrikant van de software. Hierdoor kunnen eventuele kwaadwillenden (langdurig) misbruik maken van deze kwetsbaarheden. Ook ontstaat hierdoor een zwarte markt voor handel in dergelijke kwetsbaarheden en datalekken.

Deze lijst is niet limitatief en kan voortdurend worden aangevuld.