In september 2012 werd bekend dat minister Opstelten het hele Nederlandse politiekorps met Taser-wapens wil gaan uitrusten. Op verzoek van Stichting Privacy First dient Nederland zich hierover deze week te verantwoorden bij het VN-Comité tegen Marteling.

Eén van de belangrijkste en meest geratificeerde mensenrechtenverdragen ter wereld is het VN-Verdrag tegen Marteling uit 1984. Onder dit verdrag is marteling altijd en onder alle omstandigheden verboden. Een ieder die zich waar dan ook ter wereld aan marteling schuldig (heeft ge)maakt dient te worden vervolgd of te worden uitgeleverd. Dat geldt ook voor ambtenaren, ministers, presidenten en staatshoofden. Nederland is sinds 1988 partij bij het verdrag. Periodiek wordt iedere verdragspartij onder de loep genomen door het toezichthoudende verdragsorgaan in Genève: het VN-Comité tegen Marteling. Deze dinsdag en woensdag is Nederland “aan de beurt”: op dinsdag zal Nederland door de Comitéleden over diverse onderwerpen aan de tand worden gevoeld, gevolgd door antwoorden van de Nederlandse regeringsdelegatie op woensdag. Vervolgens zal het Comité een reeks kritische aanbevelingen (“Concluding Observations”) aan Nederland doen.

Ter voorbereiding van de Nederlandse sessie stuurden Stichting Privacy First, het College voor de Rechten van de Mens en het Nederlands Juristen Comité voor de Mensenrechten (NJCM) onlangs zogeheten ‘schaduwrapportages’ over Nederland naar het Comité in Genève. Zowel Privacy First als het NJCM stelden hierbij de kwestie van Taser-wapens (stroomstootwapens) bij de Nederlandse politie nadrukkelijk aan de orde. Privacy First deed dit middels een speciale brief aan het Comité; klik HIER. In deze brief attendeert Privacy First het Comité op de intentie van minister Opstelten om iedere Nederlandse politieagent binnenkort een eigen Taser-wapen te geven. (Nu zijn nog ‘slechts’ de arrestatieteams van de Nederlandse politie met Taser-wapens uitgerust.) In de optiek van Privacy First kan het gebruik van Taser-wapens gemakkelijk leiden tot marteling in strijd met het VN-verdrag. Dergelijke wapens verlagen immers de geweldsdrempel en laten nauwelijks uiterlijke sporen achter. Tegelijkertijd kunnen Taser-wapens ernstige fysieke en mentale schade veroorzaken. In combinatie met het huidige gebrek aan wapentraining bij de Nederlandse politie levert dit ernstige risico’s op voor de Nederlandse bevolking. Wij hebben het VN-Comité dan ook verzocht om de Nederlandse delegatie hierover kritisch te ondervragen en Nederland te adviseren om géén Taser-wapens voor het hele Nederlandse politiekorps in te voeren. Afgelopen vrijdag vernam Privacy First vanuit Genève dat het VN-Comité dit onderwerp inderdaad kritisch aan de orde zal gaan stellen. Privacy First zal u deze week graag van e.e.a. op de hoogte houden.

Update 13 mei 2013, 23.00u: een livestream van de sessie is te volgen via deze hyperlink (dinsdag 10-15u, woensdag vanaf 15u).

Update 14 mei 2013, 15.00: vandaag werd de Nederlandse delegatie in Genève (onder leiding van de Nederlandse Permanente Vertegenwoordiger bij de VN) kritisch door het Comité ondervraagd over tal van onderwerpen, waaronder... Tasers. De Nederlandse antwoorden volgen morgenmiddag om 15.00u. Hieronder de relevante fragmenten in tekst en mp3:  

Comitélid Nora Sveaass (Noorwegen): “I then want to bring the attention to something that I’ve been informed of, namely that the State [of the Netherlands] is planning on a pilot of using Taser weapons as a regular weapon within the police force. And the pilot is supposed to take place, I understand, the last half of this year, so it’s probably just around the corner. This Committee has on many different occasions warned against the use of Tasers, both in special situations and especially as a regular weapon to all the police, as I understand the plans are. And there are a lot of reasons for this, I won’t go into the detail, because these have been described both by this Committee and by a lot of others, because, first of all, health reasons, physical as well as psychological. So I would hope that you would rethink and perhaps change the decision of implementing a pilot and also doing it in practice.”
Audio:

Comitélid Fernando Mariño Menéndez (Spanje): “I’m also concerned by the decision that we’ve heard about to generalize the use of Tasers by all regular police officers, as just referred to by Mrs. Sveaass, that the Tasers will be used as an [armament] for standard use across the Kingdom of the Netherlands. That’s our understanding, perhaps we’re wrong, perhaps there is a special protocol governing the use of Tasers. Our position as a Committee is that Tasers shouldn’t be used at all. If they are to be used, and this seems to be dangerous, then they need to be used in very specific cases and properly regulated. We’d like to know what’s happening in the Kingdom of the Netherlands.”
Audio:

Update 14 mei 2013, 16.45u: vanmiddag werd Privacy First-medewerker Vincent Böhre over dit onderwerp geïnterviewd op jongerenzender FunX. Beluister hieronder het hele fragment:

Update 15 mei 2013: vanmiddag vond de Nederlandse 'repliek' plaats op de vragen die het VN-Comité gisteren stelde. In onderstaand audiofragment hoort u hoe de Nederlandse Permanente Vertegenwoordiger in Genève de risico's van de Nederlandse plannen rond Taser-wapens ontkent en bagatelliseert. De Comitéleden zagen hierin geen aanleiding om hun kritische opmerkingen van gisteren af te zwakken of in te trekken. Privacy First verwacht dan ook dat het Comité in zijn spoedig uit te vaardigen Concluding Observations scherpe kritiek op de Nederlandse Taser-plannen zal uiten. Het Comité publiceerde vanavond overigens alvast een persbericht over de Nederlandse sessie; klik HIER.

Update 16 mei 2013: Een volledige videoregistratie van beide zittingsdagen van het VN-Comité staat HIER online. De Concluding Observations van het Comité over Nederland volgen pas op vrijdagmiddag 31 mei (uiterlijk 3 juni) as., zo vernam Privacy First vandaag telefonisch vanuit Genève.

Deze week bleek uit de beantwoording van Kamervragen over de heimelijke inzet van drones door de Nederlandse politie dat een specifieke wettelijke grondslag hiervoor ontbreekt. Minister Opstelten baseert de huidige inzet van drones voor opsporing op de algemene politietaak in artikel 3 van de Politiewet. Dit vage, summiere artikel is echter nooit voor dit doel geschreven. Artikel 8 lid 2 van het Europees Verdrag voor de Rechten van de Mens (EVRM) vereist daarentegen dat iedere privacy-inbreuk van overheidswege expliciet, voldoende toegankelijk en voorzienbaar, met waarborgen tegen misbruik (waaronder privacyschending en function creep) is vastgelegd in nationale wetgeving. Een specifieke wettelijke basis voor de inzet van drones bestaat echter niet, laat staan dat een dergelijke wettelijke basis voldoende toegankelijk, voorzienbaar en met privacywaarborgen omkleed zou zijn voor Nederlandse burgers. De inbreuk op de privacy door de huidige inzet van drones vormt daarmee een schending van art. 8 EVRM en is derhalve onrechtmatig.

Zonder specifieke wettelijke basis conform art. 8 lid 2 EVRM vormt iedere politie-drone een ondeugdelijk opsporingsmiddel dat niet mag worden ingezet. Deze inzet dient dan ook per direct te worden gestaakt. In individuele strafzaken is het aan de rechter om informatie die met politie-drones is vergaard als onrechtmatig bewijs buiten het strafproces te laten.

Privacy First doet hierbij een dringend beroep op de Tweede Kamer om een moratorium op de verdere inzet van drones in te stellen. Een dergelijk moratorium kan pas worden opgeheven nadat een breed democratisch debat heeft plaatsgevonden en de eventuele inzet van drones op behoorlijke wijze zal zijn gereguleerd. Bij politiek gedogen van de huidige situatie behoudt Privacy First zich het recht voor om een dergelijk moratorium bij de rechter af te dwingen.

"De reisgegevens van een anonieme ov-chipkaart blijken eenvoudig in te zien: alleen het nummer en de vervaldatum zijn voldoende om iemands gangen te kunnen volgen.

De anonieme ov-chipkaart, waarvan er in Nederland zo'n vijf miljoen in gebruik zijn, blijkt nog minder anoniem dan gedacht. Gebruikers klaagden al eerder over het unieke nummer op de chip, waarmee de kaart na digitaal opwaarderen aan de rekeninghouder is te koppelen. Hiermee zou het bedrijf achter de ov-chipkaart, Trans Link Systems, of de overheid alsnog kunnen achterhalen wie er met welke anonieme kaart reist. Nu blijkt het vooral bij anonieme ov-chipkaarten ook nog eens kinderlijk eenvoudig om iemands reisgedrag op de voet te volgen. Wat betekent dit? Vier vragen over de (niet zo) anonieme ov-chipkaart.

1. Wat is er precies aan de hand?

Via de website http://ov-chipkaart.nl blijk je eindeloos ov-chipkaarten aan je, eventueel anonieme, account te kunnen koppelen. Bij anonieme ov-kaarten heb je daarvoor alleen het kaartnummer en de vervaldatum nodig en die staan beide op de kaart. Na koppeling kan het reisgedrag met bus, tram, metro of trein via de transactieoverzichten vrijwel realtime worden gevolgd. Telkens als iemand in- of uitcheckt is dat te zien op de site, inclusief de locatie waar dat gebeurt. Even het kaartnummer en de vervaldatum van iemands anonieme kaart overpennen is daarvoor voldoende.

Bij persoonlijke ov-chipkaarten is het iets lastiger, maar ook niet onmogelijk. Daarbij moet je ook geboortedatum en postcode invoeren en die laatste staat niet op de kaart. In beide gevallen zijn de kaarthouders niet op de hoogte van het feit dat iemand anders hun reisgegevens kan inzien.

Inzage via de website van de NS is ook mogelijk, al moet de anonieme kaart daarvoor wel eerst fysiek bij een NS-kaartautomaat worden gehouden. Je moet andermans kaart hiervoor dus enige tijd in bezit hebben. Of erop vertrouwen dat die persoon de volgende keer bij de automaat op 'product ophalen' drukt, waarna de koppeling ook wordt voltooid.

2. Wat is hier erg aan?

Dat is maar net hoe je er tegenaan kijkt. Sommige mensen hebben er weinig moeite mee dat het vrij makkelijk is om ongemerkt iemands reisgedrag te volgen.

Anonieme ov-chipkaartgebruiker Edo-Martijn Janssen denkt daar anders over. Hij ontdekte hoe eenvoudig het volgen via http://ns.nl is. Hij maakte voor zijn anonieme ov-chipkaart een account aan onder de naam Pietje Puk die woont op het hoofdkantoor van de NS. Daar koppelde hij via een anoniem e-mailadres vervolgens moeiteloos ov-chipkaarten van gezinsleden aan, wiens reisgedrag Pietje Puk dus allemaal kan volgen. Ook een niet-anonieme kaart kon hij koppelen. Maar daarvoor moest Janssen tenminste nog langs de NS-automaat. Hij is erg verbaasd over de zwakte in de website http://ov-chipkaart.nl, waar kaartnummer en vervaldatum dus al voldoende zijn. ,,Een stalker kan iemand zo ongemerkt volgen. En een inbreker kan zien wanneer iemand van huis is. Ik noem maar wat voorbeelden", zegt Janssen. Maar dan moeten ze wel ooit die ov-chipkaart gezien hebben om het nummer en de vervaldatum te weten. Janssen: ,,Dat klopt. Dichter bij huis kan je bijvoorbeeld denken aan de partner die op deze manier makkelijk te volgen is, een werkgever die werknemers controleert wanneer ze zich ziek melden, of ouders die hun kinderen bespioneren."

3. Wat vinden privacydeskundigen hiervan?

,,Ik sta hier wel van te kijken", zegt Ronald Leenes, hoogleraar regulering door technologie aan de Universiteit van Tilburg. ,,Zo zie je dat zelfs de meest elementaire zaken rondom privacy fout kunnen gaan." Zijn Tilburgse collega Corien Prins, hoogleraar recht en technologie, is het met hem eens. ,,Dit zou niet moeten kunnen." Maar tegelijkertijd noemt ze het ,,niet het grootste privacyprobleem van het moment". Prins: ,,Ik hoop niet dat we het nu allemaal weer over de ov-chipkaart gaan hebben, terwijl we een fundamentele discussie moeten voeren over hoe ver we willen gaan met het inleveren van privacy. Als je bijvoorbeeld ziet wat er straks allemaal mogelijk is met gezichtsherkenning via camera's; daar zou ik het liever over hebben."

Bij de stichting Privacy First zijn ze wel boos over het gevonden privacylek bij http://ov-chipkaart.nl. ,,Het is een schande dat ieders reisgegevens zo makkelijk te traceren zijn. Wij nemen deze kwestie hoog op en verwachten snelle maatregelen van de verantwoordelijke ov-bedrijven, bijvoorbeeld een e-mailbericht bij koppeling van je ov-kaart aan andermans account. Dit toont weer aan dat privacy niet iets is wat je achteraf even makkelijk toevoegt. Wij pleiten voor privacy by design, vanaf het begin rekening houden met privacy. En dat is bij de ov-chipkaart nooit gebeurd."

4. Wat zegt Trans Link Systems?

Volgens een woordvoerder van het bedrijf achter de ov-chipkaart en http://ov-chipkaart.nl is het op verzoek van consumentenorganisaties ook voor bezitters van anonieme ov-kaarten mogelijk gemaakt om online transacties in te zien. Dat ze daardoor ook makkelijk te volgen zijn is daar volgens haar de consequentie van. ,,We weten verder niets van die mensen. We kunnen ze bij het inloggen dus alleen vragen om hun kaartnummer en de vervaldatum."

D66-Kamerlid Stientje van Veldhoven heeft staatssecretaris Wilma Mansveld (Infrastructuur, PvdA) ondertussen gevraagd welke stappen zij gaat zetten om de ov-chipkaart privacybestendiger te maken. De woordvoerder van Trans Link Systems zegt dat het bedrijf in reactie hierop nu onderzoekt of het ,,wenselijk en technisch mogelijk is om het systeem aan te passen"."

Bron: NRC Handelsblad 7 mei 2013, p. 27 (Economie). Auteur: Wilmer Heck.

"De Tweede Kamer praat morgen over het gebruiken en opslaan door de politie van camerabeelden van voertuigen en hun nummerplaten. Het ministerie van Veiligheid en Justitie ziet veel in uitbreiding van de mogelijkheden. Maar er dreigt al bij voorbaat een rechtszaak tegen het voorgestelde systeem.

Camera's leggen voertuigen en hun kentekens in het verkeer vast. De gegevens kunnen dan automatisch worden vergeleken met kentekens van voertuigen die op naam staan van bekenden van de politie, bijvoorbeeld iemand die nog een straf moet uitzitten of boete moet voldoen. De op camerabeelden zichtbare kentekens worden meteen vergeleken met een bestand van kentekens op naam van die 'bekenden'. Levert dit een 'hit' op, dan gaat de politie aan de slag. De overgebleven 'no hits' gaan in de prullenbak.

Vier weken opgeslagen

Straks mag de politie die 'no hits' 4 weken opslaan en gebruiken voor het oplossen van misdaden. Het opslaan gebeurt overigens zonder een persoonsnaam op te nemen. Na aangifte of ontdekking van een strafbaar feit kan de politie dan bijvoorbeeld gaan onderzoeken of de auto van de verdachte van een overval op een bepaalde plaats is gesignaleerd.

'Iedereen potentiële verdachte'

De Raad van State is al niet enthousiast. Maar de Stichting Privacy First, bekend van de strijd tegen het nieuwe paspoort, is helemaal niet van plan hier genoegen mee te nemen als dit wettelijk mogelijk wordt. Dan komt er een rechtszaak, zegt Vincent Böhre van genoemde organisatie. Iedere burger wordt door deze maatregel een potentiële verdachte, vindt zijn stichting, en van iedereen wordt maar vastgelegd en bewaard waar hij is. De overheid moet onschuldige burgers met rust laten en pas bij redelijke verdenking tot actie overgaan.

Burgers zelf ook te gemakkelijk

"We moeten terug naar dergelijke klassieke grondrechten en niet de hele bevolking criminaliseren. Het wordt nu steeds vaker omgekeerd. Daarbij kan het wel anoniem gebeuren, maar alles valt te herleiden en ook alles kan worden gekraakt", aldus Böhre. Burgers worden volgens hem zelf ook veel te gemakkelijk in het vrijgeven van allerlei informatie. "Dat is een collectief proces, dat gestimuleerd wordt door ontwikkelingen als Facebook.""

Bron: AutomatiseringGids 19 maart 2013.

Overheid wil criminalisering privécommunicatie burgers middels wettelijk recht op inbraak alle computers 

Column voorzitter Privacy First 

Weerzinwekkend, het wetsvoorstel van minister Opstelten om computers te kunnen hacken, niet gewenste data en informatie op uw privé pc strafbaar te stellen en u te verplichten al uw encrypties en wachtwoorden af te geven op straffe van hoge boetes en een gevangenisstraf van 3 jaar. Na er in december 2012 door meer dan 40 binnen- en buitenlandse organisaties op gewezen te zijn dat het hacken van computers en communicatiemiddelen van onschuldige burgers door de overheid onacceptabel is, gaat het ministerie van Veiligheid en Justitie onverdroten door met haar door angstcultuur gedreven beleid. Veiligheid voor alles; het kind van de vrijheid en vertrouwen wordt met het badwater weggegooid. Minister Opstelten heeft een zeer vergaand voorstel klaarliggen ter eliminering van de vrijheid van persoonlijke communicatie.

Nu overheidsambtenaren die het ergens niet mee eens zijn klokkenluiders heten en aangepakt dienen te worden, advocaten bedreigd worden in hun vertrouwelijke communicatie met cliënten en al ons  telefoonverkeer stelselmatig 12 maanden wordt opgeslagen, komt de controlestaat met het volgende mandaat. Precies waar Privacy First al voor gewaarschuwd heeft bij de opslag van telefoonverkeer: Function Creep en het oprekken van grenzen (van fatsoen). Wat als zogenaamde aanvraag vanuit Europa via een Nederlandse werkgroep op de agenda is gezet. En ja, dan vraagt Europa natuurlijk, dus moeten wij volgen en leveren, liefst snel en zonder brede maatschappelijke discussie. Hetzelfde gold voor de Paspoortwet, waar vingerafdrukken en biometrie uiteindelijk gaan leiden tot de opslag van DNA en een electronic life file van iedere burger vanaf de geboorte, om de risico’s van ziektebeelden en crimineel gedrag ver van te voren in te schatten en pre-emptive te elimineren.

En dat alles uitbesteed aan de politie, dat geeft vertrouwen. Dezelfde politie die meer telefoontaps per burger zet dan elders in de wereld, die knoeit met verslagen in de uitwerking van afgeluisterde telefoongesprekken, die opdracht geeft aan private bureaus om nader onderzoek te doen naar verdachten zodat het wettelijk kader omzeild kan worden, enzovoort. Het wetsvoorstel is de opening naar een beerput van uitbreiding van bevoegdheden en bijbehorende fouten en blunders die daarna natuurlijk gaan volgen. Zomaar enkele vragen aan de minister:

• Met welk recht denkt de overheid zich bij voorbaat te kunnen bemoeien met de computers en privécommunicatie van keurige burgers?
• Waarom zouden burgers nog vertrouwen moeten hebben in een overheid die hen stelselmatig wantrouwt?
• Erkent de overheid het risico dat zowel criminelen als onschuldige burgers door dit wetsvoorstel “ondergronds” of “onder de radar” zullen gaan?
• Erkent de overheid de internationale plicht om het recht op privacy steeds verder te verwezenlijken i.p.v. dit recht steeds verder af te breken?
• Erkent de overheid de internationale plicht om het verbod van zelf-incriminatie steeds verder te verwezenlijken i.p.v. dit steeds verder af te breken?
• Wanneer zal dit wetsvoorstel worden aangevuld met een onafhankelijke Privacy Impact Assessment en een openbare kosten-baten analyse?
• Hoe denkt het huidige kabinet verdere oprekking van bevoegdheden en function creep bij volgende kabinetten te kunnen indammen?
• Welke definitie van ‘terrorisme’ hanteert de overheid bij dit wetsvoorstel?
• Wat is de rechtspositie van alle andere gebruikers van dezelfde computer en zijn die vervolgens ook verdacht en wordt hun file ook verder nagetrokken?
• Erkent de overheid het feit dat dit wetsvoorstel zich uitstekend leent voor toekomstig machtsmisbruik?
• Zijn andere landen vooraf over dit wetsvoorstel geconsulteerd? Zo ja, welke landen en wat was de uitkomst van deze consultatie?
• Erkent de overheid het belang van klokkenluiders en journalistieke bronbescherming voor een gezonde democratische rechtsstaat?
• Is de overheid zich ervan bewust dat andere, minder democratische landen dit wetsvoorstel zullen gaan kopiëren ten behoeve van politieke repressie?
• Wordt het strafbaar om technologie te gebruiken die niet door overheden kan worden gekraakt? En om welke technologie en informatie gaat het dan?
• Welke gegevens worden opgeslagen uit deze hacks, door wie, waar en wie heeft en krijgt toegang tot deze gegevens ter wijziging, manipulering, deleten? Welke borging zit er in dit proces?

Het patroon? Altijd hetzelfde. We moeten de Europese en wereldwijde agenda (zie IP Traceback voorstel uit reeds 2008!) volgen aangaande vermeend terrorisme en georganiseerde criminaliteit vanuit de as Washington, Londen en Brussel met als testgebied Nederland, voorheen het land van vrijheid en rebellie tegen de overheid. Het zogenaamde probleem wordt sterk uitvergroot zoals we nu ook hebben kunnen zien, toevallig net na de oprichting van het Centrum Cybercriminaliteit, net voor de indiening van het wetsvoorstel, met de hackersaanvallen uitvergroot 2 weken in het nieuws. Om hoeveel het gaat en wie het zijn is volledig onduidelijk en onbekend maar dat het gaat om door buitenlandse overheden aangezette aanvallen wordt vaak bevestigd door gerenommeerde veiligheidsfetisjisten. Dus wat is de oplossing? Natuurlijk 100% controle van alle pc’s en privécommunicatie van alle burgers voor het geval er misschien een “lone wolf” tussen zit. Volledig disproportioneel en zonder gebruikmaking van andere, lichtere middelen.

Het patroon: zoek en vervang

Met leedwezen ziet Privacy First continu onze meer dan 2000 jaar bevochten universele vrijheden afgenomen worden door de veiligheidsfetisjisten bij de overheid, voornamelijk het ministerie van Veiligheid en Justitie. Vul biometrie-paspoorten in bij het ‘gigantische probleem’ van tientallen gevallen van look-alike fraude bij de Marechausse en douane; oplossing overheid: 100% van de Nederlanders DNA af te laten staan. Het probleem van incidenteel terrorisme; oplossing: het opslaan van alle telecommunicatie van alle burgers in Europa. Het probleem van medicatiefouten; oplossing: het wegwerken van het arts- en patiëntengeheim middels het EPD. Enkele onoplosbare aanrijdingen; oplossing: verplichte elektronische kastjes en uitleesbare chips in alle auto’s. Ruziënde passagiers in een taxi; oplossing: verplichte camera’s en geluidsregistratie in alle taxi’s. De kippen- en koeienziektes; oplossing: het universeel chippen van alle (huis)dieren in Europa. Het meten van energieverbuik; oplossing: verplichte introductie van de slimme energiemeter tot achter de voordeur. Het openbaar vervoer managen; oplossing: de traceerbare OV-chipkaart die sowieso niet anoniem is. Overvallen op winkels en juweliers; oplossing: het afschaffen van anonieme betalingen en criminalisering in de media van cashbetalingen. De zelfontwikkelende en verantwoordelijkheid nemende burger in spirituele ontwikkeling; oplossing: het instellen van sekte-meldpunten, etc etc.

Steeds weer hetzelfde patroon; veiligheid, 100% controle en direct inzetten van technologie als oplossing. Een overheid die haar eigen burgers wantrouwt en betaald door diezelfde burgers in noodtempo de burgers haar rechten op vrije communicatie en vervolgens meningsuiting ontneemt. Waar zien we dat meer in de wereld? Waar wijst het vingertje van Nederland altijd zo mooi naartoe? Allerlei landen die hetzelfde gedrag vertonen, van het ene vingertje wijzen er dus nog altijd 3 naar onszelf. Het is een ziekelijk patroon dat van overheidswege maar niet doorbroken wordt. Wij willen een verantwoordelijke overheid die werkt vanuit democratische rechtsprincipes als vertrouwen, het recht op anonimiteit, bescherming van eigen levensomgeving en lichamelijke integriteit en vanuit principes in plaats van door mediahysterie en commercieel gedreven incidentenpolitiek.

Het wordt echt tijd dat er een grote schoonmaak in het denken bij de overheid komt en dat het ziekelijke controledenken vanuit wantrouwen wordt losgelaten. Dan komt er tijd voor het aanpakken van de 5% waar het fout kan gaan. Privacy First gaat uit van vertrouwen (95% van de burgers regelen alles prima en onder elkaar, zonder enige overheidsbemoeienis), wetgeving vanuit de basisprincipes van onze rechtsstaat door verplichte toetsing aan de Grondwet, dan pas de uitvoering vanuit privacy by design en als laatste de ondersteuning door slimme technologie, privacy enhanced.

Het wetsvoorstel is gericht aan onze nieuwe Koning, die volledig beseft wat privacy betekent voor een individu. Ik vraag hem dan ook dit wetsvoorstel niet te tekenen, als het al door de Eerste en Tweede Kamer komt. “Beetje dom voorstel, Opstelten!”, zou Maxima zeggen.

Bas Filippini,
Amsterdam, 3 mei 2013

Deze week bleek dat de reisgegevens van "anonieme" OV-chipkaarten gemakkelijk inzichtelijk zijn voor derden, met alle privacygevaren van dien. Op de vroege ;) morgen van 18 april 2013 werd Vincent Böhre van Privacy First hierover om commentaar gevraagd op jongerenzender FunX; klik HIER voor het hele fragment!

"De reisgegevens van een anonieme ov-chipkaart zijn eenvoudig in te zien. Je hebt alleen het nummer en de vervaldatum nodig. Dit is het tweede 'lek' in de anonimiteit van de kaart.

De anonieme ov-chipkaart, waarvan er in Nederland zo'n vijf miljoen in gebruik zijn, blijkt nog minder anoniem dan gedacht. Gebruikers klaagden al eerder over het unieke nummer op de chip, waarmee de kaart na digitaal opwaarderen aan de rekeninghouder is te koppelen. Hiermee zou het bedrijf achter de ov-chipkaart, Trans Link Systems, of de overheid alsnog kunnen achterhalen wie er met welke anonieme kaart reist. Nu blijkt het vooral bij anonieme ov-chipkaarten ook nog eens kinderlijk eenvoudig om iemands reisgedrag op de voet te volgen. Wat betekent dit? Vier vragen over de (niet zo) anonieme ov-chipkaart.

Wat is er precies aan de hand?

Via de website http://ov-chipkaart.nl blijk je eindeloos ov-chipkaarten aan je, eventueel anonieme, account te kunnen koppelen. Bij anonieme ov-kaarten heb je daarvoor alleen het kaartnummer en de vervaldatum nodig en die staan beide op de kaart. Na koppeling kan het reisgedrag met  bus, tram, metro of trein via de transactieoverzichten vrijwel real-time worden gevolgd. Telkens als iemand in- of uitcheckt is dat te zien op de site, inclusief de locatie waar dat gebeurt. Even het kaartnummer en de vervaldatum van iemands anonieme kaart overpennen is daarvoor voldoende.

Bij persoonlijke ov-chipkaarten is het iets lastiger, maar ook niet onmogelijk. Daarbij moet je ook geboortedatum en postcode invoeren en die laatste staat niet op de kaart. In beide gevallen zijn de kaarthouders niet op de hoogte van het feit dat iemand anders hun reisgegevens kan inzien.

Inzage via de website van de NS is ook mogelijk, al moet de anonieme kaart daarvoor wel eerst fysiek bij een NS-kaartautomaat worden gehouden. Je moet andermans kaart hiervoor dus enige tijd in bezit hebben. Of erop vertrouwen dat die persoon de volgende keer bij de automaat op 'product ophalen' drukt, waarna de koppeling ook wordt voltooid.

Wat is hier erg aan?

Dat is maar net hoe je er tegenaan kijkt. Sommige mensen hebben er weinig moeite mee dat het vrij makkelijk is om ongemerkt iemands reisgedrag te volgen. Anonieme ov-chipkaartgebruiker Edo-Martijn Janssen denkt daar anders over. Hij ontdekte hoe eenvoudig het volgen via http://ns.nl is. Hij maakte voor zijn anonieme ov-chipkaart een account aan onder de naam Pietje Puk die woont op het hoofdkantoor van de NS. Daar koppelde hij via een anoniem e-mailadres vervolgens moeiteloos ov-chipkaarten van gezinsleden aan, wiens reisgedrag Pietje Puk dus allemaal kan volgen. Ook een niet anonieme kaart kon hij koppelen. Maar daarvoor moest Janssen tenminste nog langs de NS-automaat. Hij is erg verbaasd over de zwakte in de website http://ov-chipkaart.nl, waar kaartnummer en vervaldatum dus al voldoende zijn. ,,Een stalker kan iemand zo ongemerkt volgen. En een inbreker kan zien wanneer iemand van huis is. Ik noem maar wat voorbeelden", zegt Janssen. Maar dan moeten ze wel ooit die ov-chipkaart gezien hebben om het nummer en de vervaldatum te weten. Janssen: ,,Dat klopt. Dichter bij huis kan je bijvoorbeeld denken aan de partner die op deze manier makkelijk te volgen is, een werkgever die werknemers controleert wanneer ze zich ziek melden, of ouders die hun kinderen bespioneren."

Wat vinden privacydeskundigen hiervan?

,,Ik sta hier wel van te kijken", zegt Ronald Leenes, hoogleraar regulering door technologie aan de Universiteit van Tilburg. ,,Zo zie je dat zelfs de meest elementaire zaken rondom privacy fout kunnen gaan." Zijn Tilburgse collega Corien Prins, hoogleraar recht en technologie, is het met hem eens. ,,Dit zou niet moeten kunnen." Maar tegelijkertijd noemt ze het ,,niet het grootste privacyprobleem van het moment". Prins: ,,Ik hoop niet dat we het nu allemaal weer over de ov-chipkaart gaan hebben, terwijl we een fundamentele discussie moeten voeren over hoever we willen gaan met het inleveren van privacy. Als je bijvoorbeeld ziet wat er straks allemaal mogelijk is met gezichtsherkenning via camera's. Daar zou ik het liever over hebben."

Bij de stichting Privacy First zijn ze wel boos over het gevonden privacylek bij http://ov-chipkaart.nl. ,,Het is een schande dat ieders reisgegevens zo makkelijk te traceren zijn. Wij nemen deze kwestie hoog op en verwachten snelle maatregelen van de verantwoordelijke ov-bedrijven, bijvoorbeeld een e-mailbericht bij koppeling van je ov-kaart aan andermans account. Dit toont weer aan dat privacy niet iets is wat je achteraf kunt toevoegen."

Wat zegt Trans Link Systems?

Volgens een woordvoerder van het bedrijf achter de ov-chipkaart en http://ovchipkaart.nl is het op verzoek van consumentenorganisaties ook voor bezitters van anonieme ov-chipkaarten mogelijk gemaakt om online transacties in te zien. Dat ze daardoor ook makkelijk te volgens zijn is daar volgens haar de consequentie van. ,,We weten verder niets van die mensen. We kunnen ze bij het inloggen dus alleen vragen om hun kaartnummer en de vervaldatum." Op het feit dat bij de NS-website in ieder geval nog activering bij een automaat nodig is en dat kaarten ongemerkt gekoppeld kunnen worden, gaat ze niet in.

Bron: NRC Next 16 april 2013, p. 11 (auteur: Wilmer Heck). Zie ook http://www.nrc.nl/nieuws/2013/04/16/reisgedrag-gebruikers-anonieme-ov-chipkaart-eenvoudig-in-te-zien/

Het behoud van vrijheid en privacy in Nederland vormt sinds onze oprichting in 2009 de missie van Stichting Privacy First. In ons jaarverslag 2011 schetsten wij de positieve kentering die sindsdien (ondanks tegenwind) gaande is: privacy komt steeds hoger op de maatschappelijke en politieke agenda. Met toenemende aandacht voor privacy in de media neemt ook het privacybewustzijn onder burgers toe. Als organisatie staat Privacy First inmiddels stevig op de Nederlandse kaart. Privacy wordt mainstream. 'Privacy is het nieuwe groen!' In ons jaarverslag 2012 lichten wij dit graag voor u toe.

Naar aanleiding van een grootschalig onderzoek van Sargasso over cameratoezicht in Nederland werd Vincent Böhre van Privacy First vanavond om een reactie gevraagd in het programma Dichtbij Nederland (NTR, Radio 5). Beluister hieronder het hele fragment:

"Die niederländische Polizei hat seit 2009 in 132 Fällen Drohnen eingesetzt, um unterschiedliche Straftaten zu klären oder Lagebilder zu erstellen. Die Verfolgung von Fluchtautos mit Kameras und das Aufspüren von Cannabis-Plantagen mit Wärmekameras bildeten dabei die Mehrzahl der Einsätze. Dies geht aus Angaben des niederländischen Infrastruktur- und Innenministeriums hervor, das allerdings Details zu den Drohnen-Einsätzen verweigerte. Das findet der anfragende Abgeordnete Gerard Schouw von der Partei D66 untragbar: Der Drohneneinsatz müsse öffentlich kontrollierbar sein und eine rechtliche Grundlage haben.

Gegenüber dem niederländischen Programm von RTL erklärte Schouw, dass ohne genaue Auskünfte und Kontrollmöglichkeiten der Einsatz von Drohnen in einer Grauzone stattfinde. "Aus welcher Entfernung werden da unschuldige Bürger gefilmt? Niemand hat eine Ahnung, was da passiert."

Unterstützung erhielt Schouw von der niederländischen Datenschutzorganisation Privacy First. Deren Anwalt Vincent Böhre erklärte, dass die Kameraüberwachung mit Drohnen eine Überwachungstechnik ist, die nach dem niederländischen Recht nicht erlaubt sei.

Ähnlich äußerte sich der Jurist Leon Wecke von der Universität Radboud. "Wir werden überall von Kameras verfolgt. Nun sind es auch noch Drohnen, denen wir uns nicht bewusst sind." Dies sei eine Verletzung der Privatsphäre, erklärte Wecke gegenüber dem Internet-Nachrichten Nu.nl. Drohnen bedürften daher einer eigenständigen gesetzlichen Regelung, betonte Wecke. Zu den Drohneneinsätzen soll es in Arnhem, Amsterdam, Almere und Rotterdam gekommen sein. Wegen fortlaufender technischer Probleme soll die Amsterdamer Polizei ihre Drohnen inzwischen außer Dienst gestellt haben.

In Deutschland hatten zuletzt die Grünen auf einer Fachtagung über den Einsatz von Drohnen diskutiert und dabei über Polizeidrohnen ebenso wie über Militärdrohnen gesprochen. Die Videos dieser Tagung sind mittlerweile online verfügbar."

Bron: Heise Online, 23 maart 2013.