Op 30 januari 2018 worden door Privacy First in het Amsterdamse Volkshotel de nieuwe Nederlandse Privacy Awards uitgereikt.

Er zijn 4 categorieën waarvoor inschrijvingen genomineerd kunnen worden:

1. categorie Consumentenoplossingen (van bedrijven voor consumenten) 

2. categorie Bedrijfsoplossingen (binnen een bedrijf of business-to-business)

3. categorie Overheidsdiensten (van de overheid voor burgers)

4. aanmoedigingsprijs voor een baanbrekende technologie of persoon.

De Nederlandse Privacy Awards geven een podium aan bedrijven en overheden die Privacy zien als een kans om zich positief te onderscheiden. “De winnaars zijn belangrijke voorlopers in een nieuwe industrie waarin Nederland internationaal Privacy Gidsland kan worden”, aldus Privacy First oprichter Bas Filippini, voorzitter van de onafhankelijke jury.

Voorwaarden voor deelname

Voorwaarde voor deelname is dat u reeds met uw Privacy Innovatie aan de slag bent. U bent de idee-fase voorbij en kunt al iets van het project in uitvoering laten zien. U zorgt met uw project voor inspiratie bij andere organisaties waardoor Privacy niet wordt gezien als een belemmering, maar als een kans!

De eerste selectie bestaat uit een screening waarop met de volgende zaken wordt omgegaan:

a) Het hebben van een privacy verantwoordelijke (FG, PO) in de organisatie

b) Toepassen van een privacy policy

c) Toepassen van risico analyse(s)

d) Privacy awareness in de organisatie

e) Een inzichtelijk privacybeleid en communicatie hiervan.

Vervolgens worden de deelnemers die genomineerd worden, gescreend op zaken als:

f) Innovatief vermogen: het product, proces of dienst biedt een noviteit op privacygebied en heeft zich in de markt nog niet technisch en/of commercieel bewezen;

g) Maatschappelijke impact: de innovatie levert een bijdrage aan privacy en komt de bescherming van persoonsgegevens en het individu ten goede;

h) Focus: het product, proces of dienst levert in grote mate toegevoegde waarde aan de markt/consument;

i) Zelfredzaamheid: het product, proces of dienst is binnen een reële termijn (ca 3 jaar) economisch realiseerbaar. Er is een businessmodel.

Daarnaast bestaat de mogelijkheid dat de jury een aangekondigd bedrijfsbezoek aan de genomineerde zal brengen.

Bepalen van de genomineerden

Organisaties kunnen zich t/m 30 november 2017 aanmelden voor de Awards door een email met korte toelichting over het betreffende Privacy Project en antwoord op bovengenoemde punten a) t/m i) te sturen naar Privacy First via Dit e-mailadres wordt beveiligd tegen spambots. JavaScript dient ingeschakeld te zijn om het te bekijken.. Medio december 2017 hoort u of u tot de genomineerden behoort. Indien u genomineerd wordt ontvangt u van Privacy First een uitnodiging om een korte pitch tijdens de Awards-uitreiking voor te bereiden.

Voorschriften pitch

●  Maximaal 3 minuten

●  U gebruikt een Powerpoint presentatie (maximaal 3 sheets)

●  De presentatie bevat in ieder geval de volgende onderdelen:

    o Organisatienaam

    o Privacy project omschrijving

    o Doel en behaalde resultaten.

Jury

De jury bestaat uit onafhankelijke privacy-experts uit diverse sectoren:

> Bas Filippini, oprichter en voorzitter Privacy First (jury-voorzitter)
> Paul Korremans, data protection & security professional, Comfort Information Architects
> Marie-José Bonthuis, eigenaar IT’s Privacy
> Bart van der Sloot, senior researcher, Tilburg University
> Marjolein Lanzing, promovenda Filosofie & Ethiek, Eindhoven University of Technology.

Om te garanderen dat de verkiezing van de Awards objectief verloopt, is het niet toegestaan dat de jury een deelname beoordeelt van de eigen organisatie.

Privacy First organiseert de Nederlandse Privacy Awards met steun van Stichting Democratie & Media en Adessium Foundation, in samenwerking met ECP. Wilt u ook partner van de Nederlandse Privacy Awards worden? Neem dan contact op met Privacy First!

Privacy First heeft met interesse het nieuwe regeerakkoord gelezen. Enerzijds is Privacy First verheugd om te kunnen constateren dat er aandacht is voor privacy en dat er privacybevorderende maatregelen worden getroffen. Anderzijds zijn er helaas ook veel maatregelen die de privacy beperken of de privacy raken. Wij hebben hiervan onderstaand overzicht gemaakt. Privacy First zal de verdere ontwikkelingen hieromtrent actief op de voet volgen en positief trachten te beïnvloeden.

1. Privacybevorderende maatregelen

Veiligheid

• Standaarden voor Internet-of-Things apparaten.

• Het stimuleren van bedrijven om veiliger software te maken via software-aansprakelijkheid.

• Voorlichtingscampagnes op het gebied van cyberhygiëne.

Berechting, straffen en maatregelen

• Inzet op het beschermen van privacy van burgers onderling (horizontale privacy).

  • Het verspreiden van wraakporno wordt als zelfstandig delict strafbaar gesteld.

Vernieuwing openbaar bestuur en ICT-dienstverlening

• Ter bevordering van de privacy wordt de eigen regie op persoonsgegevens vergroot. Gebruikers van overheidsdiensten krijgen de mogelijkheid zelf relevante instanties en organisaties aan te wijzen waaraan een beperkt aantal persoonsgegevens automatisch kan worden verstrekt.

  • Wie nu geregistreerd staat kan kiezen voor een opt-out.

  • Nieuwe inschrijvingen vallen onder de nieuwe regels.

Emancipatie en LHBTI

• Onnodige geslachtsregistratie wordt waar mogelijk beperkt.

2. Privacybeperkende maatregelen

Veiligheid

• Aankoop van hacksoftware door opsporingsdiensten.

• Repressieve maatregelen i.h.k.v. terrorismebestrijding.

• DNA-onderzoek bij verdenking van een terroristisch misdrijf.

Vernieuwing openbaar bestuur en ICT-dienstverlening

• De Basisregistratie Personen (BRP) wordt gemoderniseerd en zal de e-mailadressen van burgers bevatten.

  • Gegevens van burgers in basisadministraties en andere privacygevoelige informatie wordt altijd versleuteld opgeslagen.

  • DigiD wordt veiliger gemaakt.

Arbeid: Handhaving en internationale afspraken als randvoorwaarden voor een werkend stelsel.

• Misbruik van sociale voorzieningen ondermijnt het draagvlak voor solidariteit. Het kabinet vindt het van belang dat uitvoerders, waaronder gemeenten, effectief gebruik maken van de mogelijkheden tot het delen, koppelen en analyseren van data, uiteraard met inachtneming van de geldende wettelijke regels en waarborgen. Dit kan ook uitkeringsgerechtigden helpen om regels na te leven en fouten te voorkomen. 

Personenvervoer

• Bij ontwerp, aanleg en onderhoud van infrastructuur wordt rekening gehouden met zelfrijdende voertuigen en benodigde systemen in of langs de weg. Overheidsinformatie over verkeer wordt zoveel mogelijk via open data beschikbaar gesteld voor voertuigen, apps en reisplanners. Om ieders privacy te waarborgen worden er spelregels vastgelegd over de eigendom en het gebruik van reisdata.

3. Maatregelen die de privacy (kunnen) raken

Veiligheid

• ‘Belofte’ dat er i.h.k.v. de nieuwe Wiv geen sprake zal zijn van willekeurige en massale verzameling van gegevens van burgers. 

  • Strikt de hand houden aan extra waarborgen in de wet.

  • Evaluatie zal vervroegd worden uitgevoerd, na twee jaar van invoering.

  • Eventuele extra waarborgen in de wet opnemen en het toezicht versterken.

Berechting, straffen en maatregelen

• Wetsvoorstel Aanpassing bewaarplicht telecommunicatiegegevens wordt heroverwogen.

  • Kabinet verkent in hoeverre het Europees recht ruimte biedt voor een afgewogen bewaarplicht voor bepaalde telecommunicatiegegevens, in het bijzonder voor gegevens die strekken tot identificatie van de gebruiker van een communicatiedienst.

  • Aandacht naar waarborgen voor de persoonlijke levenssfeer van burgers, beperkte toegang, aangescherpt toezicht, noodzakelijkheid van bewaartermijnen, adequate bescherming en beveiliging van gegevens en een rapportage- en evaluatieplicht.

  • Alle nieuwe wetgeving waarin gegevensbewaring wordt geregeld ten behoeve van de opsporing van ernstige strafbare feiten zal worden voorzien van passende waarborgen.

  • Evaluatie na vijf jaar -> effectiviteit en impact van de wetgeving.

Een sterke docent

• Het lerarenregister.

Goede zorg voor ouderen

• Om de schaarse capaciteit aan zorgpersoneel optimaal te benutten voor zorg en aandacht voor cliënten en patiënten, is het wenselijk digitaal ondersteunde zorg gericht in te zetten en de verspreiding van innovatieve werkwijzen (e-health) te bevorderen, zowel thuis als in het verpleeghuis. Deze kabinetsperiode is hiervoor 40 miljoen euro beschikbaar, daarna 5 miljoen per jaar. 

Ruimte voor ondernemers

• De mogelijkheden voor regionale en sectorale proefprojecten, wettelijke experimenteerruimte, testlocaties (bijvoorbeeld voor drones) en regelvrije zones worden vergroot. Daarbij gelden minimumvereisten en passend toezicht. 

Kredieten en bankensector

• Financiële technologische innovaties (Fintech) dragen bij aan innovatie en concurrentie in de financiële sector. De toetreding van deze innovatieve bedrijven wordt vereenvoudigd door invoering van een bank- en overige vergunning in lichtere vorm, met inachtneming van voldoende bescherming van de klanten. 

Luchtvaart

• De groei van het aantal passagiers op Schiphol vraagt om een efficiënter proces van grenscontroles. Er wordt daarom geïnvesteerd in de capaciteit van de Koninklijke Marechaussee en verdere digitalisering van paspoortcontroles. 

Morgen zal Nederland in Genève onder de loep worden genomen door het hoogste mensenrechtenorgaan ter wereld: de Mensenrechtenraad van de Verenigde Naties (VN). Sinds 2008 wordt de mensenrechtensituatie in elk land periodiek door de VN Mensenrechtenraad beoordeeld. Deze procedure vindt voor iedere VN-lidstaat elke vijf jaar plaats en heet "Universal Periodic Review" (UPR).

Schaduwrapportage Privacy First

Bij de vorige UPR-sessies in 2008 en 2012 kreeg Nederland relatief veel kritiek. Momenteel zijn de Nederlandse privacy-vooruitzichten slechter dan ooit. Reden voor Privacy First om een aantal zaken actief bij de VN aan te kaarten. Dit deed Privacy First in september 2016 (een week voor de VN-deadline) middels een zogeheten schaduwrapportage: een rapportage waarin een maatschappelijke organisatie haar zorgen over een bepaald thema kenbaar maakt. (Voor dergelijke rapportages gelden bij de Mensenrechtenraad overigens strikte eisen, waaronder een strikte woordenlimiet.) Zonder schaduwrapportages kunnen VN-diplomaten hun werk immers niet goed doen. Men zou dan namelijk afhankelijk blijven van eenzijdige, veelal rooskleurige staatsrapportages. Dus diende Privacy First een eigen rapportage over Nederland in met daarin onder meer de volgende aanbevelingen:

• Verbetering van Nederlandse mogelijkheden voor maatschappelijke organisaties om collectieve rechtszaken te kunnen voeren.

• Invoering van Grondwettelijke toetsing door de Nederlandse rechterlijke macht.

• Betere wetgeving rondom profiling en datamining.

• Géén invoering van automatische nummerplaatregistratie (ANPR) zoals momenteel beoogd.

• Opschorting van het ongereguleerde grenscontrolesysteem @MIGO-BORAS.

• Geen herinvoering van brede dataretentie (algemene telecom-bewaarplicht).

• Geen mass surveillance onder de nieuwe Wet op de inlichtingen- en veiligheidsdiensten (Wiv) en scherper rechterlijk toezicht op geheime diensten.

• Intrekking van de ‘politie-hackwet’ (wetsvoorstel Computercriminaliteit III).

• Een vrijwillig, regionaal i.p.v. landelijk EPD met 'privacy by design'.

• Invoering van een anonieme OV-chipkaart die écht anoniem is.

Onze hele rapportage treft u HIER aan (pdf). De rapportages van andere organisaties vindt u HIER.

Ambassades

Naast de Mensenrechtenraad verzond Privacy First haar rapportage begin dit jaar tevens aan alle buitenlandse ambassades in Den Haag. Naar aanleiding daarvan vonden de laatste maanden uitgebreide (vertrouwelijke) meetings plaats tussen Privacy First en de ambassades van Bulgarije, Argentinië, Australië, Griekenland, Duitsland, Chili en Tanzania, waarbij de rang van onze gesprekspartners varieerde van senior diplomaten tot ambassadeurs. Tevens ontving Privacy First positieve reacties op onze rapportage vanuit de ambassades van Zweden, Mexico en het Verenigd Koninkrijk. Bovendien werden enkele passages uit onze rapportage overgenomen in de VN-samenvatting over de algehele mensenrechtensituatie in Nederland; klik HIER ('Summary of stakeholders' information', par. 47-50).

Hopelijk zal e.e.a. morgen effectief blijken. Dit is echter niet te garanderen, aangezien het hier een interstatelijk, diplomatiek proces betreft en veel onderwerpen in onze rapportage (en recente gesprekken) evengoed gevoelige kwesties zijn in talloze andere VN-lidstaten.

VN Mensenrechtencomité

Een vergelijkbare rapportage werd door Privacy First in december 2016 ingediend bij het VN Mensenrechtencomité in Genève. Dit Comité houdt periodiek toezicht op de Nederlandse naleving van het VN Verdrag inzake Burgerrechten en Politieke Rechten (IVBPR). Mede naar aanleiding van deze rapportage heeft het Mensenrechtencomité vorige week o.a. de Wiv, camerasysteem @MIGO-BORAS en de bewaarplicht telecomgegevens (dataretentie) geagendeerd voor de komende Nederlandse sessie in 2018 (zie par. 11, 27).

Wij hopen dat onze input door zowel de VN Mensenrechtenraad als het VN Mensenrechtencomité benut zal worden en tot opbouwende kritiek en internationale uitwisseling van 'best practices' zal leiden. Privacy First zal u hier graag van op de hoogte houden.

De Nederlandse UPR-sessie vindt morgen plaats van 9.00-12.30u en zal live te volgen zijn op internet.

Update 10 mei 2017: de Nederlandse regeringsdelegatie (geleid door minister Plasterk) ontving tijdens de UPR-sessie in Genève vandaag kritische aanbevelingen over mensenrechten en privacy in relatie tot contraterrorisme door Canada, Duitsland, Hongarije, Mexico en Rusland. Klik HIER voor de video van de hele UPR-sessie. Publicatie van alle aanbevelingen door de VN Mensenrechtenraad volgt op 12 mei as.

Update 12 mei 2017: vandaag om 18u zijn alle aanbevelingen aan Nederland door de VN Mensenrechtenraad gepubliceerd, klik HIER (pdf). Nuttige adviezen aan Nederland inzake het recht op privacy zijn afkomstig van Duitsland, Canada, Spanje, Hongarije, Mexico en Rusland, zie par. 5.29, 5.30, 5.113, 5.121, 5.128 & 5.129. Hieronder de betreffende aanbevelingen. Nader commentaar door Privacy First volgt.

Extend the National Action Plan on Human Rights to cover all relevant human rights issues, including counter-terrorism, government surveillance, migration and human rights education (Germany);  

Extend the National Action Plan on Human Rights, published in 2013 to cover all relevant human rights issues, including respect for human rights while countering terrorism, and ensure independent monitoring and evaluation of the Action Plan (Hungary);

Review any adopted or proposed counter-terrorism legislation, policies, or programs to provide adequate safeguards against human rights violations and minimize any possible stigmatizing effect such measures might have on certain segments of the population (Canada);

Take necessary measures to ensure that the collection and maintenance of data for criminal [investigation] purposes does not entail massive surveillance of innocent persons (Spain);

Adopt and implement specific legislation on collection, use and accumulation of meta-data and individual profiles, including in security and anti-terrorist activities, guaranteeing the right to privacy, transparency, accountability, and the right to decide on the use, correction and deletion of personal data (Mexico);

Ensure the protection of private life and prevent cases of unwarranted access of special agencies in personal information of citizens in the Internet that have no connection with any illegal actions (Russian Federation). [sic]

Update 26 mei 2017: inmiddels is een vollediger VN-verslag van de UPR-sessie (inclusief weergave van de 'interactive dialogue' tussen VN-lidstaten en Nederland) gepubliceerd; klik HIER (pdf). In september wordt bekend welke aanbevelingen de Nederlandse regering zal accepteren en implementeren.

Update 22 september 2017: de Nederlandse regering heeft inmiddels bekendgemaakt (pdf) dat het van bovenstaande aanbevelingen slechts de Spaanse uitdrukkelijk accepteert:

Take necessary measures to ensure that the collection and maintenance of data for criminal purposes does not entail massive surveillance of innocent persons.

Privacy First beschouwt dit als een bindende internationale toezegging en zal de Nederlandse regering daar aan houden, bijvoorbeeld bij actuele wetsvoorstellen die hiermee in strijd zijn.

De overige VN-aanbevelingen (door Duitsland, Canada, Mexico, Hongarije en Rusland) neemt Nederland vooralsnog slechts voor kennisgeving aan (deze zijn "noted", in diplomatenjargon). Nederland doet daarbij slechts de volgende toezegging:

"The current Action Plan will not be amended, but the recommendations [made by Germany and Hungary] will be considered during the development of a new one."

Dit biedt enig perspectief. Te zijner tijd zal Privacy First hierover met de verantwoordelijke ministeries in overleg treden.

Tijdens het Nationaal Congres Dataprotectie & Privacy 2016 worden de jaarlijkse Nationale Privacy Innovatie Awards uitgereikt. Deze Awards belonen de meest originele, innovatieve en kansrijke privacyprojecten van Nederland.

IIR en Privacy First belichten met deze Awards organisaties die privacy-innovatie zien als kans om zich positief te onderscheiden en privacyvriendelijk te ondernemen. Dit in lijn met de missie van Privacy First: Nederland Privacy Gidsland.

Uit de vele inzendingen heeft de vakjury de volgende genomineerden per categorie bepaald:

Jury IIR Nationale Privacy Innovatie Awards
De jury bestaat uit privacy experts uit verscheidene branches en sectoren:
• Bas Filippini, oprichter en voorzitter, Privacy First (juryvoorzitter)
• John Borking, Of Counsel, CMS, lid van Advisory Board van EuroPriSe GmbH
• Paul Korremans, Data Protection & Security Professional, Comfort Information Architects
• Jaap Henk Hoepman, Scientific Director, Privacy & Identity Lab.

De verkiezing
Tijdens het congres worden de zes genomineerde projecten aan het publiek gepresenteerd. De vakjury bepaalt wie de winnaars worden van de IIR Nationale Privacy Innovatie Awards 2016. Daarnaast stemt het publiek live mee voor de publieksprijs, die naast de Awards wordt uitgereikt.

Op woensdag 14 september 2016 tijdens het Nationaal Congres Dataprotectie & Privacy wordt bekendgemaakt wie deze prestigieuze prijzen in de wacht sleept.

Lees HIER meer over de IIR Nationale Privacy Innovatie Awards.

Tijdens de conferentie Dataprotectie & Privacy op 14 september 2016 in Amsterdam (Westcord Fashion Hotel) worden de IIR Nationale Privacy Innovatie Awards 2016 uitgereikt. “De winnaars zijn belangrijke voorlopers in een nieuwe industrie waarin Nederland internationaal Privacy Gidsland kan worden”, aldus Privacy First oprichter Bas Filippini, voorzitter van de onafhankelijke jury. Evenals in 2015 steunt Privacy First de IIR Nationale Privacy Innovatie Awards 2016 van harte en verwacht dat de uitreiking ook dit jaar een groot succes zal worden.  

Er zijn 4 categorieën waarvoor inschrijvingen genomineerd kunnen worden:

1. categorie Bedrijfsoplossingen

2. categorie Consumentenoplossingen

3. categorie Overheidsdiensten

4. categorie Start-ups

De Awards geven een podium aan bedrijven en overheden die Privacy Innovatie zien als kans om zich positief te onderscheiden. Maximaal 8 bedrijven/overheden die werken met privacy-innoverende projecten mogen gratis naar het congres komen en maken kans op één van de titels!

Maak kans op gratis congreskaarten

IIR zoekt originele, innovatieve en kansrijke Privacy Innovatie Projecten (een product, proces, procedé of dienst). Het is een voorwaarde dat u met uw innovatie aan de slag bent. U bent de idee-fase voorbij en kunt al iets van het project in uitvoering laten zien. U zorgt met uw project voor inspiratie bij andere bedrijven waardoor Privacy niet alleen wordt gezien als belemmering, maar vooral als kans!

De eerste selectie bestaat uit een screening waarop met de volgende zaken wordt omgegaan:

a) Het hebben van een privacy verantwoordelijke (FG, PO) in de organisatie

b) Toepassen van een privacy policy

c) Toepassen van risico analyse(s)

d) Privacy awareness in de organisatie

e) Een inzichtelijk privacybeleid en communicatie hiervan

Vervolgens worden de deelnemers die genomineerd worden, gescreend op zaken als:

f) Innovatief vermogen: het product, proces, procedé of dienst biedt een noviteit op privacygebied en heeft zich in de markt nog niet technisch en/of commercieel bewezen;

g) Maatschappelijke impact: de innovatie levert een bijdrage aan privacy en komt de bescherming van persoonsgegevens en het individu ten goede;

h) Focus: het product, proces, procedé of dienst levert in grote mate toegevoegde waarde aan de markt/consument;

i) Zelfredzaamheid: het product, proces, procedé of dienst is binnen een reële termijn (ca 3 jaar) economisch realiseerbaar. Er is een businessmodel.

Daarnaast bestaat de mogelijkheid dat de jury een aangekondigd bedrijfsbezoek aan de genomineerde zal brengen.

Bepalen van de winnaar

Organisaties kunnen zich t/m 31 juli 2016 aanmelden voor de Privacy Innovatie Awards door een email met korte toelichting over het Privacy Innovatie Project en antwoord op bovengenoemde punten a) t/m i) te sturen naar Jasper Savenije (IIR) via Dit e-mailadres wordt beveiligd tegen spambots. JavaScript dient ingeschakeld te zijn om het te bekijken.. Na 1 augustus 2016 hoort u of u een plaats heeft bemachtigd voor de Awardsuitreiking. Vervolgens ontvangt u van IIR een uitnodiging om een korte pitch tijdens het congres voor te bereiden.

Voorschriften pitch

●  Maximaal 3 minuten

●  U gebruikt een Powerpoint presentatie (maximaal 3 sheets)

●  De presentatie bevat in ieder geval de volgende onderdelen:

    o Bedrijfsnaam

    o Privacy project omschrijving

    o Doel en behaalde resultaten.

Jury

De jury bestaat uit onafhankelijke privacy-experts uit diverse sectoren:

> Bas Filippini, oprichter en voorzitter Privacy First (jury-voorzitter)
> John Borking, Of Counsel, CMS, lid van Advisory Board van EuroPriSe GmbH
> Paul Korremans, Data Protection & Security Professional, Comfort Information Architects
> Jaap-Henk Hoepman, Scientific Director, Privacy & Identity Lab.

Om te garanderen dat de verkiezing van de Awards objectief verloopt, is het niet toegestaan dat de jury een deelname beoordeelt van de eigen organisatie.

Lees HIER over de winnaars van de IIR Nationale Privacy Innovatie Awards 2015 en bekijk ook onderstaande video-impressie! 

Geslaagd publieksdebat “Challenging business for privacy” resulteert in oproep tot privacyvriendelijke innovatie 

Van 23-26 oktober jl. vond de 3-jaarlijkse Amsterdam Privacy Conference plaats: een internationaal megacongres rondom alle aspecten van privacy. In het kader van ons nieuwe initiatief Privacy First Solutions organiseerde Stichting Privacy First tijdens dit congres op 26 oktober jl. een unieke discussieavond over privacy-oplossingen voor het bedrijfsleven: “Challenging business for privacy”. Onze panelleden waren Marc van Lieshout (TNO & PI.lab), Marcel van Galen (Qiy), Sacha van Geffen (Greenhost) en Jelte Timmer (Rathenau Instituut). Moderator was Privacy First Solutions-projectleider Martijn van der Veen. Locatie was de Rechtenfaculteit van de Universiteit van Amsterdam.

Tijdens de avond gingen deze experts met elkaar en met het publiek in debat over privacyvriendelijk innoveren en de vraag welke best practices hierbij als voorbeeld kunnen dienen. We bespraken met elkaar de kansen voor bedrijven om privacy als unique selling point in te zetten en privacy by design toe te passen.

De avond resulteerde in onze call to action aan alle disciplines:

Wetenschappers, overheidsinstellingen én het bedrijfsleven zullen er gezamenlijk voor moeten zorgen dat privacyvriendelijk innoveren de norm wordt en dat Nederland zich kan gaan ontwikkelen tot Privacy Gidsland.

In het bijzonder dienen bedrijven hierbij dataminimalisatie te waarborgen en de klant de regie te geven over zijn of haar eigen data. Bedrijven moeten geen afwachtende houding aannemen, maar zélf concrete oplossingen vormen voor actuele privacy-vraagstukken door privacy by default en privacy by design actief toe te passen. Het bedrijfsleven kan daarbij verder gaan dan louter “compliant ” zijn aan de bestaande privacywetgeving en een stuwende kracht voor privacybevordering worden. Privacy vormt een prachtige kans voor bedrijven om maatschappelijk verantwoord te ondernemen en te innoveren. Die kans mag Nederland niet laten liggen!

Een nader verslag van de avond volgt binnenkort. Volg onze website voor nieuwe aankondigingen van komende evenementen van Privacy First Solutions!

Vlnr: Marc van Lieshout, Marcel van Galen, Jelte Timmer en Sacha van Geffen.  Foto: Maarten Tromp.

Deze week werd bekend dat, als het aan de Belgische Privacycommissie ligt, in België voortaan een opt-in i.p.v. opt-out geldt bij WiFi-tracking in winkels en andere openbare gelegenheden. Om aan de hand van WiFi-signalen van mobiele telefoons getraceerd te kunnen worden door bedrijven zullen mensen in België dus vooraf geïnformeerd moeten worden en toestemming moeten geven. Dit i.p.v. toestemming of bezwaar achteraf (opt-out) zoals die momenteel in Nederland lijkt te gelden en gedoogd lijkt te worden door het Nederlandse College Bescherming Persoonsgegevens (CBP). België gaat hiermee dus een stap verder dan Nederland, en dat is goed nieuws. Nieuws dat in Nederland navolging verdient. Hieronder een korte eerste reactie van Privacy First op BNR Nieuwsradio:

Vandaag werd bekend dat, als het aan de Belgische Privacycommissie ligt, in België voortaan een opt-in i.p.v. opt-out geldt bij WiFi-tracking in winkels en andere openbare gelegenheden. Om aan de hand van WiFi-signalen van mobiele telefoons getraceerd te kunnen worden door bedrijven zullen mensen in België dus vooraf geïnformeerd moeten worden en toestemming moeten geven. Dit i.p.v. toestemming of bezwaar achteraf (opt-out) zoals die momenteel in Nederland lijkt te gelden en gedoogd lijkt te worden door het Nederlandse College Bescherming Persoonsgegevens (CBP). België gaat hiermee dus een stap verder dan Nederland, en dat is goed nieuws. Nieuws dat in Nederland navolging verdient. Hieronder een korte eerste reactie van Privacy First op BNR Nieuwsradio:

Enkele fragmenten uit een artikel door TNO-wetenschapper David Langley in het FD van zaterdag 25 juli 2015:

"Met draadloos verbonden dingen — het 'internet of things'— valt geld te verdienen. Vermijd de valkuil om voor één productvariant te kiezen en smeed allianties buiten de eigen sector. En let op: wetgeving voor privacybescherming biedt kansen.

Wereldwijd zijn technologieontwikkelaars hard bezig met het 'internet of things', waar fysieke objecten als auto's, kleren en zelfs koeien met internet worden verbonden. Ook veel Nederlandse ondernemers hebben het gevoel dat ze de innovatiekansen met beide handen moeten aanpakken. De vraag is alleen: hoe?

(...)

Naast deze zakelijke overwegingen ontstaan er door het internet of things nieuwe maatschappelijke vraagstukken waarmee ondernemers rekening moeten houden. Een daarvan is wetgeving rond het gebruik van de gigantische en almaar uitdijende hoeveelheid data die wordt geproduceerd. In een opmerkelijke rechtszaak, die grote invloed kan hebben, stapte Bas Filippini van het Nederlandse Privacy First naar het Europese Hof voor de Rechten van de Mens om in het geweer te komen tegen privacyschending door een voorloper van het internet of things: de trajectcontroles op snelwegen. Omdat de snelheid van alle automobilisten continu wordt gevolgd, belandt, aldus Filippini, 'iedere automobilist [...] nu in een politiedatabank als potentiële verdachte en Joost mag weten hoe die data gebruikt worden.' Dit is strijdig met het hard bevochten principe van onze democratische rechtsstaat: er mag pas privacyinbreuk worden gemaakt als er een concrete aanwijzing van een strafbaar feit is. Het is een opmerkelijke zaak omdat binnenkort niet alleen ons rijgedrag, maar, door het internet of things, al ons fysiek gedrag door vele organisaties in binnen- en buitenland op de voet zal worden gevolgd, nog veel meer dan nu al, via onze mobiele telefoons, het geval is.

'Privacy is ouderwets'

Sommigen, zoals de futuroloog Jeremy Rifkin, beweren dat privacy een ouderwets idee is, een eigenaardigheid van het industriële tijdperk. Maar toch vinden veel mensen het geen prettig idee wanneer organisaties en onbekenden vrijwel onbeperkt inzage hebben in hun levens.

Er komt nieuwe EU-wetgeving, de Algemene Verordening Gegevensbescherming, die de privacywetgeving bijwerkt naar de kenmerken van digitale technologieën. De toegestane verwerking van gegevens via het internet of things kan daardoor drastisch beperkt worden. Verwerking mag in veel gevallen alleen met toestemming van de burger. Wat blijft er van het internet of things over wanneer burgers deze toestemming massaal weigeren?

Dit probleem biedt ook een innovatiekans voor Nederland. We kunnen met ideeën komen voor toepassingen waarin de bescherming van onze data in het ontwerp ingebouwd is. Waar ieder individu zelf kiest waarvoor zijn of haar data gebruikt worden op basis van de voordelen die de persoon zelf ziet. Dit past niet in het Facebook- en Googlemodel van vrije commerciële toegang tot persoonlijke data, maar het kan wel de toekomst van het internet of things worden.

(...) Zo kan Nederland een voorloper worden, in plaats van dat andere landen ons achter zich laten."

Bron: Financieel Dagblad 25 juli 2015, rubriek Anders denken, p. 5. Het volledige artikel is gratis online beschikbaar op http://fd.nl/fd-outlook/1112133/nieuwste-technologiestap-vraagt-om-aanvalsplan.

Sinds 2010 voerde Privacy First een megazaak tegen één van de zwaarste privacyschendingen in de Nederlandse geschiedenis: de centrale opslag van vingerafdrukken onder de Paspoortwet. In deze zaak werd Privacy First echter achtereenvolgens niet-ontvankelijk verklaard, ontvankelijk verklaard én in het gelijk gesteld, maar tenslotte alsnog niet-ontvankelijk verklaard. Hoe kon dit gebeuren? En wat betekent dit voor de rechtsbescherming in Nederland?

Civiele rechter

Sinds mei 2010 voerde Stichting Privacy First samen met 19 mede-eisers (burgers) een grootschalige rechtszaak tegen de centrale opslag van vingerafdrukken onder de Paspoortwet (Paspoortproces). Dit was een civielrechtelijke zaak. Individuele burgers konden voor deze kwestie immers niet bij de bestuursrechter terecht. Burgers konden namelijk slechts bij de bestuursrechter terecht als zij daartoe eerst een individueel besluit zouden uitlokken: een bestuurlijke weigering om een paspoort (of ID-kaart) te verstrekken na een individuele weigering om vingerafdrukken te laten afnemen. Men kon dus slechts bestuursrechtelijk procederen als men bereid was om jarenlang zonder paspoort (of ID-kaart) door het leven te gaan. De bepaling in de Paspoortwet over centrale opslag van vingerafdrukken (art. 4b) was (en is) bovendien nog niet in werking getreden. De bestuursrechter was daarom onbevoegd om deze bepaling te toetsen. Rechtstreeks beroep tegen wetgeving is in het Nederlandse bestuursrecht (in tegenstelling tot andere landen) bovendien onmogelijk. De bestuursrechter kon art. 4b Paspoortwet dan ook slechts individueel en indirect ("exceptief") aan hogere privacywetgeving toetsen nadat dit artikel in werking getreden zou zijn, dus pas nadat centrale opslag (en uitwisseling) van ieders vingerafdrukken een fait accompli zou zijn. Om massale privacyschending te voorkomen resteerde voor Privacy First c.s. dus slechts de civiele rechter als enige bevoegde rechter. Sinds jaar en dag is de civiele rechter immers bij uitstek de rechter waar nationale wetgeving rechtstreeks aan hogere (privacy)wetgeving kan worden getoetst, zelfs als die nationale wetgeving nog niet in werking getreden is maar wel een dreigende privacyschending inhoudt.

Sterke zaak

Privacy First kon (als relevante stichting) deze zaak civielrechtelijk voeren in het algemeen belang, namens iedere Nederlander. Sinds begin jaren 90 kan dit middels een speciale procedure in het Burgerlijk Wetboek: de zogeheten 'algemeen-belangactie' onder art. 3:305a BW. Ook de Hoge Raad leek hiertoe alle seinen op groen te hebben gezet, althans tot de dagvaarding van de Staat door Privacy First c.s. in mei 2010. In juli 2010 doorbrak de Hoge Raad echter zijn eerdere jurisprudentie door te verklaren dat belangenorganisaties nog slechts bij de civiele rechter terecht zouden kunnen als voor individuele burgers geen bestuursrechtelijke rechtsgang openstond. Voor de kwestie in ons Paspoortproces konden burgers nu echter juist niet bij de bestuursrechter terecht. Dus hadden Privacy First c.s. nog steeds een sterke zaak. Bovendien leken de nieuwe ontvankelijkheidscriteria van de Hoge Raad niet van toepassing op algemeen-belangacties, maar slechts op zogeheten 'groepsacties' (namens een bepaalde groep mensen i.p.v. de hele bevolking).

Onbegrijpelijk oordeel Hoge Raad

In februari 2011 verklaarde de rechtbank Den Haag ons Paspoortproces onterecht niet-ontvankelijk. Vervolgens stelden Privacy First c.s. hoger beroep in. Mede onder druk van dit hoger beroep werd de centrale (en decentrale, gemeentelijke) opslag van vingerafdrukken in de zomer van 2011 (grotendeels) stopgezet en werd de afname van vingerafdrukken voor ID-kaarten in januari 2014 afgeschaft. Een maand later (18 februari 2014) verklaarde het Hof Den Haag Privacy First vervolgens alsnog - in het algemeen belang - ontvankelijk en oordeelde dat centrale opslag van vingerafdrukken in strijd was met het recht op privacy. Minister Plasterk van Binnenlandse Zaken reageerde not amused en eiste cassatie bij de Hoge Raad. Tegen alle verwachtingen in (Privacy First had immers vrijwel alle wetgeving, wetsgeschiedenis, jurisprudentie én rechtsliteratuur aan haar zijde) verklaarde de Hoge Raad vervolgens op 22 mei jl. zowel Privacy First als de 19 mede-eisers (burgers) niet-ontvankelijk. Volgens de Hoge Raad kunnen deze individuele burgers immers bij de bestuursrechter terecht en is ook voor Privacy First daardoor de weg naar de civiele rechter afgesloten. Dit terwijl de laatste jaren nu juist was gebleken dat onze mede-eisers niet bij de bestuursrechter terecht konden, althans niet ter toetsing van art. 4b Paspoortwet (centrale opslag van vingerafdrukken). In talloze bestuursrechtelijke zaken verklaarden de bestuursrechters van diverse rechtbanken zich daartoe de laatste jaren onbevoegd. Voor Privacy First als belanghebbende organisatie stond de weg naar de bestuursrechter daardoor evenmin open. Dat de Hoge Raad nu oordeelt alsof dit niet zo is, is simpelweg onbegrijpelijk. Van procederende burgers kan bovendien niet gevergd worden dat zij jarenlang zonder paspoort door het leven gaan. Evenmin kan van burgers gevergd worden dat zij eerst hun privacy laten schenden (vingerafdrukken afstaan en zelfs laten opslaan) voordat zij dit kunnen laten toetsen. Dat de Hoge Raad dit wel lijkt te vereisen is niet alleen onbegrijpelijk (en in strijd met eerdere jurisprudentie van de Hoge Raad zelf), maar ook ronduit verwerpelijk.

Gat in de rechtsbescherming

Het oordeel van de Hoge Raad creëert een juridisch vacuüm: ter toetsing van massale, dreigende privacyschending (zoals centrale opslag van vingerafdrukken onder de Paspoortwet) kunnen burgers en organisaties hierdoor wellicht noch bij de civiele rechter, noch bij de bestuursrechter terecht. Dit slaat een groot gat in de Nederlandse rechtsbescherming zoals die de laatste decennia gold. De Hoge Raad schuift de zaak weliswaar door naar de hoogste bestuursrechter (Raad van State), maar het is hoogst onzeker of de Raad van State centrale opslag van vingerafdrukken onder de Paspoortwet alsnog zal kunnen en willen toetsen. De Hoge Raad had het oordeel van de Raad van State in een viertal actuele, parallelle bestuursrechtelijke zaken rond de Paspoortwet dan ook eerst dienen af te wachten alvorens uitspraak te doen in het Paspoortproces van Privacy First. Door dit niet te doen is de Hoge Raad geheel voorbarig op de stoel van de Raad van State gaan zitten, zet het de Raad van State onder zware druk en neemt de Hoge Raad een enorm risico. Mocht de Raad van State binnenkort immers anders oordelen dan de Hoge Raad (namelijk dat de Raad van State terzake onbevoegd is), dan slaat de Hoge Raad hiermee een gigantische flater én creëren de Hoge Raad en Raad van State gezamenlijk een enorm gat in de Nederlandse rechtsbescherming in strijd met het Europees Verdrag voor de Rechten van de Mens (EVRM).

Indiening procesdossier Privacy First bij Raad van State

Privacy First is de laatste jaren reeds inhoudelijk betrokken geweest bij de bestuursrechtelijke zaken tegen de Paspoortwet die nu bij de Raad van State dienen. Naar aanleiding van de uitspraak van de Hoge Raad zal Privacy First bovendien het gehele Paspoortproces-dossier integraal (door de advocaat in één van deze zaken) laten indienen bij de Raad van State. Dit ter versterking van de argumenten van de betreffende burger tegen centrale opslag van vingerafdrukken onder de Paspoortwet. Blijkens de uitspraak van de Hoge Raad is het nu immers aan de Raad van State om hierover alsnog een oordeel te vellen. 
 
Meervoudige schending EVRM

Privacy First c.s. wachten het oordeel van de Raad van State met spanning af. Tegelijkertijd overweegt Privacy First alvast zelf een klacht in te dienen bij het Europees Hof voor de Rechten van de Mens in Straatsburg wegens schending van art. 8 EVRM (recht op privacy) én art. 6 en 13 EVRM (recht op toegang tot de rechter en een effectief rechtsmiddel). Ondanks de kafkaëske anticlimax bij de Hoge Raad (en afhankelijk van het uiteindelijke oordeel van de Raad van State) ligt daarmee wellicht een Europese veroordeling van Nederland in het verschiet.

Oproep

Ons Paspoortproces heeft Privacy First de laatste jaren enorm veel geld gekost: minstens EUR 100.000 (!) aan advocaatkosten, geheel betaald uit donaties aan Privacy First. Dit drukt al jarenlang verschrikkelijk zwaar op de beperkte middelen die een kleine stichting als Privacy First tot haar beschikking heeft. Hier bovenop heeft de Hoge Raad Privacy First ook nog eens veroordeeld tot betaling van EUR 5.088 aan proceskosten. Hierbij doet Privacy First dan ook nogmaals een dringend beroep op uw financiële steun. Stort uw financiële bijdrage op IBAN: NL95ABNA0495527521 t.n.v. Stichting Privacy First te Amsterdam o.v.v. "Paspoortproces" of maak uw donatie rechtstreeks over via onze donatiemodule. Bij voorbaat dank voor uw hulp!

Lees HIER de hele uitspraak. Ons hele procesdossier staat HIER online.

Update 15 oktober 2015: eind mei dit jaar heeft de advocaat van Louise van Luijk het volledige civiele procesdossier van Privacy First c.s. ingediend bij de bestuursrechters van de Raad van State. Dit ter versterking van de argumenten van Louise tegen de afname en opslag van vingerafdrukken onder de Paspoortwet. Louise is één van de Nederlandse burgers die hier al jarenlang bestuursrechtelijk tegen procederen en gedurende die periode (om processuele redenen) zonder paspoort door het leven moeten gaan. Klik HIER voor een eerdere reportage over Louise in het tv-programma VARA Ombudsman uit maart 2011 (vanaf 21m11s). Deze week heeft Privacy First (op advies van Stibbe Advocaten) bovendien een zelfstandig verzoek tot voeging in de zaak van Louise bij de Raad van State ingediend; klik HIER voor het hele document (pdf). Privacy First hoopt dat de Raad van State dit verzoek spoedig zal inwilligen; dit mede in het belang van de ontvankelijkheid van belangenorganisaties in dit type rechtszaken. De rechtszitting in de zaak van Louise zal op donderdag 3 december as. bij de Raad van State plaatsvinden.

Update 4 november 2015: de Raad van State heeft het verzoek tot voeging van Privacy First vrijwel direct en nauwelijks beargumenteerd afgewezen; klik HIER (pdf). Hierop heeft Privacy First een klacht en verzoek tot heroverweging ingediend bij de voorzitter van de afdeling bestuursrechtspraak; klik HIER (pdf). Vervolgens heeft de Raad van State dit opnieuw afgewezen met als argument dat "niet valt in te zien om welke reden Privacy First zich niet eerder al, naast het voeren van de civielrechtelijke procedure, tot de bestuursrechter had kunnen wenden teneinde deel te nemen aan de bestuursrechtelijke procedure"; klik HIER (pdf). Privacy First interpreteert dit aldus dat Privacy First in een eerder stadium bestuursrechtelijk ontvankelijk zou zijn geweest en zal daar in toekomstige rechtszaken haar voordeel mee doen. Ook had Privacy First volgens de Raad van State blijkbaar tegelijkertijd civielrechtelijk én bestuursrechtelijk kunnen procederen. Voorzover Privacy First bekend is vormt dit een breuk met de heersende rechtsleer dat niet tegelijkertijd door dezelfde partij over dezelfde kwestie bij twee verschillende rechters kan worden geprocedeerd. (Om deze reden hadden Privacy First c.s. er sinds 2010 voor gekozen om louter civielrechtelijk te procederen.) Ook met deze kennis c.q. trendbreuk zal Privacy First in nieuwe rechtszaken haar voordeel doen. Het bevreemdt Privacy First echter dat de Raad van State het in deze zaak reeds te laat acht voor onze voeging. Art. 8:26 Awb bepaalt immers letterlijk dat "de bestuursrechter tot de sluiting van het onderzoek ter zitting ambtshalve, op verzoek van een partij of op hun eigen verzoek, belanghebbenden in de gelegenheid kan stellen als partij aan het geding deel te nemen", oftewel zelfs tot de sluiting van de zitting op 3 december as. Blijkbaar had de Raad van State er simpelweg geen zin in. Privacy First ziet desondanks het oordeel van de Raad van State over de eerdere (de)centrale opslag van vingerafdrukken onder de Paspoortwet met vertrouwen tegemoet. Bij gebreke van een kritisch oordeel terzake staat voor de bestuursrechtelijk procederende burgers (onder wie Louise van Luijk) bovendien een uiterst kansrijke weg open naar het Europese Hof voor de Rechten van de Mens in Straatsburg, zowel i.v.m. het recht op toegang tot de rechter en een effectief rechtsmiddel (art. 6 en 13 EVRM) als het recht op privacy (art. 8 EVRM).