donatieknop english
zondag, 11 november 2012 17:40

Panopticon

Panopticon verscheen eind oktober 2012 op internet en is in de optiek van Privacy First de beste Nederlandstalige documentaire over privacy tot nu toe. Bekijk 'm hieronder en oordeel zelf:

Gepubliceerd in Videocorner

Stichting Privacy First organiseert regelmatig een netwerkborrel met een prominente spreker rond een actueel thema. Zo organiseerden wij in september dit jaar een avond met het Hoofd van de AIVD. Op 22 oktober jl. was het de beurt aan een spreker uit de wereld van cyber security. Spreker was ditmaal de heer Wil van Gemert, Directeur Cyber Security van de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV, ministerie van Veiligheid en Justitie). Als discussie-moderator hadden wij onderzoeksjournalist Brenno de Winter ingeschakeld. Klik HIER voor de uitnodiging aan onze relaties. Wilt u voortaan ook een uitnodiging ontvangen? Mail ons! Hieronder volgt een verkorte weergave van de lezing en de discussie met het publiek:

Introductie Privacy FirstBas Filippini

Voorzitter Bas Filippini geeft een korte inleiding op het werk van Stichting Privacy First en introduceert Wil van Gemert en Brenno de Winter. Filippini memoreert dat de overheid steeds meer verwacht dat burgers alles digitaal doen. Met name ouderen en mensen met principiële bezwaren raken hierdoor in de knel. Tegelijkertijd krijgt de overheid steeds meer bevoegdheden om in het digitale privédomein van de burger te kunnen meekijken. Een actuele ontwikkeling op dit terrein is het plan van minister Opstelten om computers van burgers te kunnen gaan hacken. Privacy First is fel tégen dit plan, onder meer vanwege de schending van het briefgeheim. De overheid hoort de privacy van de burger te waarborgen. In die zin hebben Privacy First en de overheid hetzelfde doel, weliswaar vanuit verschillend perspectief. De hackplannen van Opstelten dreigen de privacy – en daarmee de democratie – echter af te breken. Filippini geeft vervolgens het woord aan Wil van Gemert.

Trends in cyber security

De heer Van Gemert dankt Privacy First voor de uitnodiging en trapt af met een komisch reclamefilmpje over spraakverwarring; klik HIER. Evenals in het filmpje draait het bij cyber security om vertrouwen, kennis en bewustzijn. Daarnaast draait het om het vinden van de juiste balans tussen taken en verantwoordelijkheden. In zijn lezing zal Van Gemert achtereenvolgens ingaan op huidige trends in cyber security, de taken van de overheid, publiek-private samenwerking, het Cyber Security Beeld Nederland, en "security versus privacy?": is hier sprake van een tegenstelling of vult e.e.a. elkaar juist aan? En wat zijn de actuele uitdagingen? Bij cyber security draait alles om de vertrouwelijkheid, betrouwbaarheid, integriteit en continuïteit van gegevens in de digitale informatiesamenleving. Een eerste wereldwijde trend die Van Gemert hierbij signaleert is ‘Big Data’: de enorme hoeveelheid data die voortdurend opgeslagen wordt en die dagelijks toeneemt. Hoe kunnen we daar op een goede manier mee omgaan? Een tweede trend is hyperconnectiviteit: het aantal digitale (internet)verbindingen neemt exponentieel toe. Zo ontstaat een “Internet of Things”. Nederland heeft de één na hoogste internetdichtheid ter wereld; dat geeft Nederland op dit terrein een bijzondere positie. Een derde trend is het verdwijnen van grenzen, zowel in tijd en afstand als qua werk/privé. Deze trends vereisen een verandering in zowel de manier waarop bedrijven zakendoen als de rol van de overheid bij het waarborgen van een veilige samenleving. Deze trends hebben ook invloed op mensen, op consumenten, bijvoorbeeld door de nieuwe mogelijkheden van mobiele telefonie. Big Data kan worden gebruikt om real-time, heel gericht een commerciële aanbieding te doen aan een individu, bijvoorbeeld een reisverzekering als je op Schiphol bent. Op de vraag van Van Gemert hoeveel aanwezigen in de zaal dit een prettig idee vinden gaan echter nul handen omhoog. Van Gemert zelf vindt het ook geen prettig idee: je privacy wordt hierdoor geschaad, je krijgt het gevoel dat je gevolgd wordt. Relatief veel jongeren lijken het echter prima te vinden.Wil van Gemert

Invloed van social media

Een belangrijk aspect bij cyber security is mobiliteit: bedrijven willen hun klanten overal kunnen bereiken en werknemers zijn steeds minder gebonden aan een vaste werkplek bij hun werkgever. Voor bedrijven, politieke partijen en de overheid worden ook social media steeds belangrijker om te weten wat er in een markt of maatschappij speelt. Een interessante casus is het recente incident met Vueling Airlines, waarbij het radiocontact verloren ging en men enige tijd rekening hield met een mogelijke kaping. Sinds 2001 is de procedure dat een dergelijk vliegtuig (‘renegade’, SPF) begeleid wordt door F16’s. Stel echter dat alle passagiers aan boord gaan twitteren dat er niets aan de hand is, hoe ga je daar dan mee om als overheid? Dat zijn vragen die momenteel bij de overheid spelen. Een ander aspect heeft betrekking op de rol van de overheid: van een monopoliepositie naar een meer afhankelijke rol. Het grootste deel van de cyberinfrastructuur is immers in handen van bedrijven. Daarnaast is er een autoriteitsvraagstuk: social media hebben invloed op de mate waarin een overheidscampagne wel of niet aanslaat bij een bevolking. Een recent voorbeeld is de overheidscampagne voor inentingen tegen baarmoederhalskanker. Een volgend aspect is dat cyber security ‘community driven’ is: de gemeenschap maakt zichzelf eigenaar van een bepaald probleem, bijvoorbeeld bij het Dorifel-virus. Die gemeenschap bestaat uit onderzoekers, relevante bedrijven, hackers etc. Deze ‘community’ kan soms helderheid rond een bepaalde kwestie verschaffen, anders dan bijvoorbeeld bij klassieke opsporing waarbij de regie bij de overheid ligt. Bij veel bedrijven is het digitale IQ echter nog laag; het is voor de overheid dan ook een uitdaging om het digitale IQ bij bedrijven te verhogen, aldus Van Gemert.

Gebrek aan security-concept in cyberspace

Nederland is een land van zeeën en dijken: als het water doorsijpelt bouwen we er een dijk omheen. Die klassieke manier van crisisbeheersing (containment, ofwel indammen) is in cyberspace bijna onmogelijk. Bedrijven weten vaak niet waar hun data zich precies bevindt, hoe het met elkaar verbonden is en welk effect het heeft als er ergens uitval is. Naast de menselijke factor kennen platforms, applicaties en infrastructuren allemaal hun eigen problemen, en door de interactie tussen die vier niveaus wordt een securityprobleem vaak heel omvangrijk. In de fysieke wereld kennen we een safety-concept; denk bijvoorbeeld aan de veiligheidsregels op een bouwplaats. Maar geldt er in cyberspace ook een security-concept? En welke rollen hebben de overheid, de private sector en de burger daarin? Momenteel is dat nog onvoldoende helder. Op de snelweg gelden bepaalde veiligheidseisen en verkeersregels. Maar iedere burger kan ook een computer kopen en onbeveiligd de digitale snelweg op.Wil van Gemert

Publiek-private samenwerking

Sinds anderhalf jaar heeft Nederland een Nationale Cyber Security Strategie. Onderdeel daarvan was de installatie van een Cyber Security Raad: een onafhankelijk adviesorgaan voor de overheid. In de Nationale Cyber Security Strategie is onder meer afgesproken dat Nederland jaarlijks een Cyber Security Beeld Nederland van dreigingen en actoren maakt. Verder is er sinds begin 2012 de operationele directie binnen de NCTV, die uit twee onderdelen bestaat: 1) het Nationaal Cyber Security Centrum, NCSC (dat onder meer als expertisecentrum fungeert) en 2) een beleidscluster (dat onder meer de beantwoording van Kamervragen en vragen vanuit de private sector ondersteunt). Uitgangspunt hierbij is publiek-private samenwerking; zo ontstaan nieuwe coalities met nieuwe vormen van participatie tussen de overheid en het bedrijfsleven, maar ook met belangenorganisaties. In de Cyber Security Raad en in het NCSC participeren zowel de overheid als private partijen en deskundigen. Een onderwerp waar men zich bijvoorbeeld gezamenlijk mee bezighoudt is cloudcomputing. Tevens heeft het NCSC sinds kort een ICT Response Board; bij deze publiek-private samenwerking kan een groep mensen uit de overheid en het bedrijfsleven bij incidenten en crisissituaties worden opgeroepen ter advies en assistentie. Daarnaast zijn er op verschillende terreinen ISACs: Information Sharing and Analytical Committees, bijvoorbeeld voor de vitale infrastructuur op het terrein van energie, water, financiën etc. Ook dit is publiek-private samenwerking.

Dreigingen in cyberspace

Cyber security staat de laatste tijd volop in de actualiteit en uit negatieve incidenten komen soms positieve initiatieven voort. Zo was er een unaniem verzoek van de Tweede Kamer om een meldpunt security breaches op te richten. Van Gemert vertelt in dit verband het volgende: “De Diginotar-affaire heeft duidelijk gemaakt dat de volgende vraag relevant is: wat kan de overheid in het geval van een crisis? Hoe kan de overheid een bedrijf dat een essentiële rol vervult, verplichten om mee te werken om te voorkomen dat maatschappelijke ontwrichting ontstaat en de maatschappij schade lijdt? Hebben wij die mogelijkheden überhaupt? Onze conclusie in juli dit jaar was bevestigend, indien we de noodtoestand zouden kunnen verklaren op een cyberincident.” Verder zou niet alleen geïnvesteerd moeten worden in de detectie van datalekken, maar ook in de juiste response hierop, aldus Van Gemert. De rol van de overheid richt zich daarbij op coördinatie, communicatie en consultatie. In juli dit jaar verscheen het tweede nationaal Cyber Security Beeld van dreigingen, doelwitten en actoren. De grootste dreiging gaat uit van buitenlandse overheden (spionage) en cybercriminaliteit. In tegenstelling tot wat veel mensen denken gaat van cyberterrorisme vooralsnog een kleinere dreiging uit. Verder kan de samenwerking tussen ‘hacktivisten’ en buitenlandse statelijke actoren (lees: geheime diensten) tot zorgen leiden.Wil van Gemert


Privacy & security

Over de verhouding tussen privacy en security stelt Van Gemert dat er wat hem betreft "geen privacy zonder security bestaat. Als je geen security organiseert, zul je uiteindelijk ook geen privacy hebben. Je moet wel degelijk maatregelen nemen om ervoor te zorgen dat je privacy beschermd wordt. Zowel privacy als security hebben belang bij elkaar. Informatiebeveiliging op dat terrein en afspraken daaromtrent zijn dus noodzakelijk. Ook ter bescherming van de privacy publiceren we vanuit het NCSC dagelijks adviezen over kwetsbaarheden die bedrijven en burgers zouden kunnen raken. Onze website www.waarschuwingsdienst.nl is erop gericht om burgers beter bewust te maken en te wapenen tegen dreigingen. Wij zijn echter geen toezichthouder; we kunnen niets opleggen. Wij kunnen slechts adviseren en best practices aandragen. Tussen 12 en 22 november as. zal de overheid samen met private partners 10 dagen lang aandacht besteden aan ‘awareness’ via de campagne Alert Online. Deze campagne is zowel op het bedrijfsleven als op burgers gericht.”

Van Gemert benadrukte tenslotte nog het belang van digitale grondrechten en de zelfredzaamheid van burgers door kennis en bewustwording. Voor de discussie met het publiek poneert Van Gemert drie onderwerpen: 1) Hoe verhouden security en vrijheid zich conceptueel tot elkaar? En kan security ook zorgen voor privacy? 2) Wat is de rol van Privacy First? Is dat altijd in de oppositie, of ook in een coalitie? 3) Wat is de rol in cyberspace van onze handhavende en toezichthoudende instanties, bijvoorbeeld de politie? Wat is hun rol bij individuele noodhulp en handhaving in cyberspace?Wil van Gemert
sheet privacyfirst challenges

Discussie met het publiek

Hoewel Van Gemert niet verantwoordelijk is voor cyber crime, is hij desondanks bereid om namens het ministerie van Veiligheid en Justitie ook daarover het een en ander te zeggen. Op een vraag vanuit het publiek over de internationale consequenties die ‘ingrijpen’ in cyberspace vanuit Nederland kan hebben antwoordt Van Gemert dat het concept van virtualiteit vraagt om een andere benadering dan een territoriale benadering indien onduidelijk is waar een bepaalde server zich bevindt. Hij maakt hierbij een vergelijking met de vroegere ontwikkeling van het zeerecht in internationale wateren. Verder zou wellicht het land waar de schade optreedt het aanknopingspunt moeten vormen qua jurisdictie. Eenduidige antwoorden bestaan op dit terrein echter nog niet; de nationale en internationale regels terzake zijn nog niet helder. Brenno de Winter benadrukt dat Nederlandse hacking-activiteiten in het buitenland een gevaarlijke internationale precedentwerking kunnen hebben. Wat indien een land als Iran zich dezelfde bevoegdheden toebedeelt? Door anderen in het publiek wordt deze zorg gedeeld.

Een andere vraag in het publiek heeft betrekking op publiek-private samenwerking als bij Diginotar. Ook wordt gerefereerd aan Israëlische tapcentrales in Nederland. Maakt Nederland zichzelf hiermee niet ontzettend kwetsbaar? Van Gemert antwoordt dat deze vraag voor de overheid sinds de Diginotar-affaire inderdaad prominent is geworden. Op de kwestie van tapcentrales wil hij echter niet ingaan, aangezien hij hier niet beleidsmatig bij betrokken is. Hierna wordt vanuit het publiek opgemerkt dat, bij de publiek-private samenwerking op het terrein van cyber security, Nederlandse maatschappelijke organisaties structureel buiten de deur worden gehouden. Ook De Winter merkt op dat het NCSC door velen gezien wordt als een onbereikbare vesting waar je niet gehoord wordt. Van Gemert antwoordt hierop dat vanuit het NCSC wel degelijk contact met belangenorganisaties wordt gezocht. De vraag is daarbij ook welke rol die belangenorganisaties willen hebben: oppositie of coalitie? “Ik ben ervan overtuigd dat wij nieuwe vormen van samenwerking moeten zoeken tussen overheid, bedrijfsleven, burgers én belangenorganisaties, die ervoor zorgen dat onze samenleving veiliger wordt. Het zoeken van dat contact is ook de reden dat ik hier sta,” aldus Van Gemert. Een andere vraag vanuit het publiek gaat over detectie van hack-pogingen. In hoeverre wordt dit door de overheid aan bedrijven uitbesteed? Van Gemert antwoordt hierop dat de overheid zelf detecteert aan de hand van verkeersgegeBrenno de Wintervens (niet op content) voorzover het de vitale (overheids)infrastructuur betreft; bij bedrijven is dergelijke detectie aan die bedrijven zelf. Vanuit het publiek wordt in dit verband opgemerkt dat de overheid ook een rol zou kunnen gaan spelen om per bedrijfssector relevante kennis en ervaring bij elkaar te brengen. Een andere opmerking vanuit het publiek heeft betrekking op het eerder veronderstelde gebrek aan internationale regelgeving: waarom conformeert Nederland zich niet aan het reeds bestaande Verdrag van Boedapest over Cybercriminaliteit en waarom worden de mogelijkheden van dit verdrag onvoldoende benut? Verdere opmerkingen gaan over samenwerking tussen Nederlandse gemeenten, de banken en telecomsector. Ook wordt gevraagd hoe groot de dreiging van cyber warfare is en hoe Nederland zich hierop voorbereidt. Van Gemert refereert hierop aan cyber als het “fifth battlefield” na de vier domeinen land, zee, lucht en ruimte. Dit is een reëele ontwikkeling; inmiddels zijn er zo’n 20 landen die er de capaciteit voor hebben. In Nederland wordt veel bezuinigd, maar op cyberterrein wordt bij Defensie juist geïnvesteerd. Bij cyber war speelt overigens ook een nieuw toerekeningsvraagstuk: welk land veroorzaakt de schade en hoe moet ik hierop reageren? Tijdens de discussie wordt tevens gerefereerd aan de US Patriot Act en de risico’s van opslag van gegevens in de cloud. “Denk goed na over wat je in de cloud zet”, adviseert Van Gemert. Hierna rijst vanuit het publiek de vraag in hoeverre de overheid de bescherming van persoonsgegevens als vitaal beschouwt voor onze infrastructuur, in hoeverre de overheid oog heeft voor de risico’s van identiteitsfraude en -diefstal door de koppeling van persoonsgegevens aan BSN-nummers, of men de inhoud van het WRR-rapport iOverheid onderschrijft en of het uitroepen van een cyber-noodtoestand gelijk staat aan een ramp- of oorlogssituatie waarbij reguliere wetgeving kan worden opgeheven met alle privacyrisico’s van dien. Verder wordt opgemerkt dat een politiebevoegdheid om computers van burgers te kunnen hacken impliceert dat computergegevens van burgers ook ongemerkt zouden kunnen worden veranderd en vervolgens tegen diezelfde burgers zouden kunnen worden gebruikt. Van Gemert antwoordt dat persoonsgegevens essentiële, kritieke data zijn die goed beschermd dienen te worden. Naast bedrijven dienen ook burgers zelf dit zich meer te realiseren. Wat een noodtoestand betreft antwoordt Van Gemert dat die zelfs bij de watersnoodramp van 1953 niet werd afgekondigd. Op cyberterrein is geen aanvullende, nieuwe wetgeving voor een noodtoestand noodzakelijk. De bestaande wetgeving voor een noodtoestand kan alleen in een uiterste situatie toegepast worden. Een volgend discussiepunt betreft de jarenlange afhankelijkheid van de NederlandWil van Gemertse overheid ten opzichte van Microsoft: waarom duurt deze situatie (met bijbehorende privacyrisico’s) immer voort? Desgevraagd verduidelijkt Van Gemert vervolgens zijn eerdere opmerkingen over een cyber-noodtoestand: die kan niet worden ingeroepen indien sprake is van een incident, maar slechts indien sprake is van maatschappelijke ontwrichting op grote schaal. Vervolgens wordt vanuit het publiek gevraagd in hoeverre de overheid de verantwoordelijkheid heeft om geen wetgeving en beleid te maken die door andere landen kan worden gekopieerd en misbruikt, net zoals bepaalde dual use apparatuur niet door bedrijven aan bepaalde landen mag worden geleverd. Van Gemert antwoordt hierop dat voor bepaalde goederen inderdaad VN-sanctielijsten bestaan; de AIVD controleert daarop. Een vrij internet in het buitenland wordt met name ondersteund door het ministerie van Buitenlandse Zaken. In het algemeen geldt verder dat je als democratische samenleving altijd een morele guideline hebt waarlangs je dient te opereren. Hierna komt de discussie in het publiek weer terug op het punt van een eventuele overheidsbevoegdheid om in het buitenland te kunnen hacken. Vormt toestemming van een rechter-commissaris in dat kader voldoende waarborg tegen misbruik? Elders in het publiek wordt opgemerkt dat bij het tappen van telefoongesprekken de rechter-commissaris tegenwoordig een soort stempelmachine is. Ook wordt gesteld dat er eerder door Van Gemert te gemakkelijk werd gesproken over vijf domeinen van oorlogvoering. In het internationale recht gelden van oudsher slechts drie oorlogsdomeinen: land, zee en lucht. In de ruimte geldt sinds de jaren 70 het principe van peaceful use of outer space. Waarom dan niet ook een vergelijkbaar, nieuw principe van peaceful use of cyberspace?

Ter reactie op een vraag over de waarborging van privacy antwoordt Van Gemert dat hij waarde hecht aan helderheid over wat wel en niet mag. Middels opsporingsbevoegdheden kan soms ook juist iemands onschuld worden aangetoond. De uitdaging is het vinden van de balans tussen cyber security en privacy, aldus Van Gemert. Vervolgens wordt vanuit het publiek gewezen op de gevaren van koppeling van persoonsgegevens en function creep. DaarBrenno de Winternaast is onze democratische rechtsstaat geen statisch gegeven. Houdt men hier bij de overheid rekening mee? Van Gemert herhaalt hierop dat de uitdaging ligt in het vinden van de juiste balans. Ook wordt de roep vanuit het parlement om nieuwe wetgeving na een incident niet altijd opgevolgd door de overheid, bijvoorbeeld bij terrorismewetgeving en noodwetgeving. Vanuit het publiek wordt vervolgens opgemerkt dat voor een huiszoeking een huiszoekingsbevel nodig is, wat controleerbaar is voor de burger. Die controleerbaarheid ontbreekt bij het hacken van een computer. Van Gemert antwoordt dat die controle voor de burger vaak ook ontbreekt bij tappen of observeren, zeker als het niet tot een zaak voor de rechter komt. De Winter merkt in dit verband op dat bestaande notificatieplichten evenmin worden nageleefd door de overheid. Vanuit het publiek wordt aangevuld dat door alle registratie ook de onschuldpresumptie van burgers onder druk komt te staan. Hierdoor verandert de maatschappij en gaan mensen zich conformeren aan een ‘alziende overheid’. Van Gemert benadrukt hierop nogmaals dat "privacy en security niet zonder elkaar kunnen". In zijn optiek zijn dit soort discussies belangrijk om hierover meer helderheid te krijgen en stappen vooruit te kunnen zetten. Tenslotte benadrukt Van Gemert nogmaals het belang van een security-concept in cyberspace met voldoende aandacht voor privacy.

Tenslotte

De Winter geeft het laatste woord aan Stichting Privacy First. Voorzitter Bas Filippini dankt Van Gemert voor de open hand die hij vanavond aan de oppositie heeft aangereikt. In de optiek van Privacy First zijn dit soort discussies cruciaal. De laatste jaren was er te weinig sprake van dialoog met de privacybeweging, kwam er steeds meer overheid en steeds minder burgerparticipatie. Privacy First gaat dan ook graag in op de uitnodiging om onderdeel te kunnen worden van de coalitie. “Wij zullen een luis in de pels zijn, maar daar moet je tegen kunnen,” zo eindigt Filippini.Wil van Gemert en Bas Filippini

Gepubliceerd in Metaprivacy

"Volgende week behandelt de Eerste Kamer een wetsvoorstel om misstanden in de prostitutiebranche aan te pakken, maar de voorgestelde centrale prostitutie-database kan allerlei nieuwe problemen met zich meebrengen. Daarvoor waarschuwt privacywaakhond Privacy First. Niet alleen zal een verplichte registratie van prostituees tot een verschuiving van prostitutie naar het illegale circuit leiden, het is ook in strijd met het recht op privacy.

"Het betreft hier immers registratie van gevoelige persoonsgegevens. Dit is verboden onder artikel 16 Wbp en vormt een schending van artikel 8 EVRM (Europees Verdrag voor de Rechten van de Mens )", aldus directeur Vincent Böhre. Die waarschuwt ook voor de stigmatiserende werking die het registreren van prostituees heeft.

Veiligheid
"Bovendien kan de veiligheid van deze registratie onmogelijk worden gewaarborgd en is er het gevaar van function creep. De veronderstelde voordelen van registratie wegen dan ook niet op tegen de risico’s van datalekken, hacking, onbevoegd en onvoorzien gebruik, nu en in de toekomst", merkt Böhre op. "Hieruit vloeien bovendien nieuwe risico’s van misbruik en chantage voort."

Volgens de privacywaakhond hoort bestrijding van criminaliteit en mensenhandel niet via risicovolle registratie van prostituees plaats te vinden, maar door effectievere opsporing, vervolging en berechting van de daders zonder de slachtoffers in gevaar te brengen."

Bron: Security.nl

Gepubliceerd in Privacy First in de media
zaterdag, 27 oktober 2012 17:17

Oproep tegen centrale database prostitutie

Hedenmiddag verzond Stichting Privacy First onderstaande email aan de Eerste Kamer: 

Geachte Eerste Kamerleden,

Onlangs vond de internationale Amsterdam Privacy Conference 2012 plaats. In zijn openingsspeech bij deze conferentie ging Lodewijk Asscher voornamelijk in op het huidige wetsvoorstel regulering prostitutie. Asscher sprak hierbij de verwachting uit dat de beoogde registratie van prostituees zal leiden tot rechtszaken tot aan het Europees Hof voor de Rechten van de Mens in Straatsburg. Stichting Privacy First deelt deze verwachting. Wij doen hierbij dan ook een dringend beroep op u om het niet zover te laten komen en het wetsvoorstel tijdens de plenaire behandeling op dinsdag 30 oktober as. te verwerpen. Privacy First voert hiertoe de volgende gronden aan:

  1. Verplichte registratie van prostituees zal leiden tot een verschuiving van prostitutie naar het illegale circuit. Daarmee zal dit wetsvoorstel een averechts effect hebben, met alle risico’s van dien voor de betreffende prostituees. De maatschappelijke (rechts)positie van prostituees raakt hierdoor verder verzwakt i.p.v. versterkt.
  2. Verplichte registratie van prostituees is in strijd met het recht op privacy. Het betreft hier immers registratie van gevoelige persoonsgegevens. Dit is verboden onder artikel 16 Wbp en vormt een schending van artikel 8 EVRM.
  3. Registratie van prostituees heeft een stigmatiserende werking. Bovendien kan de veiligheid van deze registratie onmogelijk worden gewaarborgd en is er het gevaar van function creep. De veronderstelde voordelen van registratie wegen dan ook niet op tegen de risico’s van datalekken, hacking, onbevoegd en onvoorzien gebruik, nu en in de toekomst. Hieruit vloeien bovendien nieuwe risico’s van misbruik en chantage voort.
  4. Bestrijding van criminaliteit en mensenhandel dienen niet te geschieden middels risicovolle registratie van prostituees, maar door effectievere opsporing, vervolging en berechting van de daders zonder de slachtoffers in gevaar te brengen. Het is aan de Minister om hiertoe, in overleg met relevante maatschappelijke organisaties, alternatieve privacyvriendelijke instrumenten te ontwikkelen.

Desgevraagd zijn wij graag bereid tot een nadere toelichting op bovenstaande punten.

Hoogachtend,

Stichting Privacy First

Update 30 oktober 2012: vanmiddag uitte de Eerste Kamer zware kritiek op (met name) de privacyaspecten van verplichte registratie van prostituees. Minister Opstelten heeft hierop besloten om zich op e.e.a. te gaan herbezinnen. Daarmee lijkt de registratieplicht van de baan. Verdere behandeling van overige onderdelen van het wetsvoorstel is tot nader order uitgesteld. Klik HIER voor een audio-opname van het Kamerdebat tot het moment van schorsing (mp3, 2u53m, 119 MB).

Update 31 oktober 2012: Klik HIER voor een woordelijk verslag van het debat.

Gepubliceerd in Wetgeving

"Een nieuwe variant van het elektronisch patiëntendossier (EPD) moet het leven van een patiënt gemakkelijker maken door medische informatie te delen. Toch klinkt dezelfde kritiek over het beschermen van de gegevens en de privacy.

Gaat het dan eindelijk lukken met het elektronisch patiëntendossier? Patiënten kunnen vanaf volgend jaar hun medische gegevens laten uitwisselen tussen verschillende zorgverleners - huisartsen, apothekers, medisch specialisten in ziekenhuizen.

Kunnen, niet moeten. De patiënt is tot niks verplicht, het uitwisselen gebeurt alleen na specifieke toestemming. Het is het grootste verschil met alle eerdere pogingen om het elektronisch patiëntendossier (EPD) tot leven te wekken. Het belangrijkste voordeel van het elektronisch uitwisselen is dat huisartsen, specialisten en apothekers te allen tijde kunnen inzien wat een patiënt aan medicijnen slikt en wat is voorgeschreven. Voor een deel gebeurt dat al, omdat ziekenhuizen in het hele land bij apothekers gegevens kunnen opvragen over welke medicijnen iemand heeft geslikt. Al vijftien jaar lang wordt gewerkt om een nog beter systeem in elkaar te zetten. Els Borst pleitte er als minister van Volksgezondheid al voor, de jongste poging van Den Haag sneuvelde vorig jaar in de Eerste Kamer.

privacy

Toen was de belangrijkste kritiek dat de privacy van de patiënten niet voldoende was gewaarborgd. Ook zouden de medische gegevens opgeslagen op internet niet veilig genoeg zijn. En iedereen moest eraan meedoen, tenzij mensen nadrukkelijk weigerden. Dat een patiënt nu eerst moet instemmen is een goede verbetering in vergelijking met de vorige voorstellen, vindt jurist Vincent Böhre van burgerrechtenorganisatie Privacy First. 'Prima dat zo'n keus aan de burger wordt overgelaten.' Toch behoudt hij ook nu zijn twijfels over de bescherming van de privacy en de veiligheid van patiëntgegevens. 'Dezelfde bezwaren die we destijds hadden tegen het voorstel van de minister gelden ook hier. Wij hebben geen idee hoe dit nieuwe project omspringt met de gegevens van patiënten. Het is ons niet duidelijk hoe groot de risico's zijn op datalekken. Ook weten wij niet of de beveiliging van de gegevens goed is gewaarborgd.' Als voorbeeld noemt de jurist het datalek van begin deze maand in het Groene-Hartziekenhuis in Gouda. Toen kon een hacker van buiten het ziekenhuis zonder veel moeite bijna een half miljoen vertrouwelijke patiëntgegevens bereiken die op een computer stonden. Niet iedereen mag zomaar en willekeurig in patiëntgegevens kijken, zegt een woordvoerder van de Vereniging van zorgaanbieders voor zorgcommunicatie, de koepelorganisatie achter het nieuwe systeem. Een zorgverlener kan alleen met een speciaal pasje en een inlogcode in het systeem. Daarvan wordt volgens de woordvoerder ook een melding gemaakt. En sommige informatie is alleen toegankelijk voor een specifieke zorgverlener. Zo kan een apotheker niet in het huisartsendossier kijken, maar wel zien wat andere apotheken aan medicatie hebben voorgeschreven. 'Het is geen grote vergaarbak van medische informatie.'

ziekenhuizen

Ziekenhuizen zijn niet verplicht mee te doen, maar een zekere dekkingsgraad is wel wenselijk, zegt de woordvoerder. Op dit moment kunnen nog lang niet alle ziekenhuizen informatie uitwisselen, zelfs als de patiënt dat graag wil. Hoeveel patiënten daadwerkelijk bereid zijn om hun gegevens uit te wisselen, schept nog een risico of het elektronisch patiëntendossier deze keer wel zal slagen. Böhre: 'In Tsjechië is veel onrust over het elektronisch delen van patiëntgegevens. Een paar jaar terug is daar ook een systeem uitgeprobeerd waarbij burgers eerst hun toestemming moesten geven. Daar bleek toen te weinig draagvlak voor, het project werd stopgezet. Dat kan ook hier gebeuren.'"

Bron: Nederlands Dagblad 26 oktober 2012, sectie Binnenland. Tevens gepubliceerd in de Leeuwarder Courant, 26 oktober 2012, p. 2.

Gepubliceerd in Privacy First in de media
donderdag, 25 oktober 2012 12:50

To hack, or not to hack...

Door Adriaan Bos  

Minister Opstelten wil wettelijk vastleggen dat justitie computers mag hacken. Zo kan de politie een computer overnemen door daar spyware op te plaatsen, zonder dat de gebruiker van die computer daar iets van merkt. Op die manier kan tegenwicht worden geboden aan criminelen die steeds inventiever gebruik maken van informatietechnologie. Moeten we daar bezwaar tegen hebben?

De computer is straks de nieuwe tank

Het is duidelijk dat de cybercriminaliteit een zorgelijke ontwikkeling is. In zijn begin dit jaar verschenen boek "Het einde van de privacy" zegt trendwatcher Adjiedj Bakas: Cyberwarfare wordt een taak van het vernieuwde leger, de computer is straks de nieuwe tank. En wat voor tank! Welke publieke voorziening is tegenwoordig niet computergestuurd, variërend van de watervoorziening tot luchthavens, telefoonverkeer, ziekenhuizen, het betalingsverkeer en de bevoorrading van supermarkten. Door die computers over te nemen kan chaos worden gecreëerd. Dat kan een actie van de ene tegen de andere natie zijn, maar ook terroristen en criminelen kunnen zoiets ondernemen. Geen bezwaar dus tegen het hacken van computers door de politie, als tegenwicht?

Een vergaande inbreuk op de privacy

Het overnemen van een computer stelt de politie in staat die van voor naar achter te doorzoeken, inclusief alle privé-gegevens die daar op staan. Dus ook het complete e-mailbestand (inclusief bijvoorbeeld de correspondentie tussen een verdachte en diens advocaat, of diens heimelijke minnaar/minnares), bezochte websites, alle betalings- en administratiegegevens en een persoonlijk dagboek vol gedachten en fantasieën kunnen worden doorgenomen. Dat is een zeer vergaande inbreuk op de privacy. Niet alleen van de verdachte, maar ook van derden die met de verdachte communiceren. Geen bezwaar zal de overheid zeggen, het middel wordt alleen ingezet bij verdenking van strafbare feiten van een zekere ernst (aldus de brief van de minister van 15 oktober jl. aan de Tweede Kamer), en bovendien moet de rechter eerst toestemming geven. Is dat voldoende waarborg, nu en in de ongewisse toekomst?

Privacy moet wijken voor veiligheid

Die oneliner is opgekomen in de VS na 9/11. De politiek in Nederland gaat daar gretig in mee als zich een ernstig incident voordoet, zeker als dat door de media en verontwaardigde burgers breed wordt uitmeten. Met als gevolg veel, vaak disproportionele gelegenheidsmaatregelen. Ons land komt steeds meer vol te hangen met camera's, er worden digitale bestanden aangelegd voor uiteenlopende doelen, die na verloop van tijd worden verruimd door bestanden aan elkaar te koppelen. De technologie van gezichtsherkenning breekt door, een centraal DNA-bestand voor alle burgers komt op ons af. In een vrijdag jl. uitgelekt wetsvoorstel zou staan dat het voor justitie mogelijk moet worden om DNA-materiaal uit de zorg op te eisen voor opsporingsdoeleinden. Als we zo doorgaan zou Orwells '1984' heel goed '2084' kunnen zijn. Gaat het zo ver komen?

Kunnen wij blijven vertrouwen op onze democratische rechtsstaat?

Nog een keer Bakas over onze toekomst: Ieder individu heeft straks een digitale identiteit (inclusief DNA-paspoort en medisch dossier). Die is opgeslagen in de Cloud en kun je, zo zegt hij, selectief toegankelijk maken, behoudens één uitzondering: De enige die overal toegang toe heeft is de overheid. Hoe gaat de overheid om met al die informatie, die haar zo veel macht over burgers geeft? In autoritaire staten laat zich het antwoord raden. Kunnen wij blijven vertrouwen op onze democratische rechtsstaat, op richtlijnen uit Brussel? Een democratie kenmerkt zich onder meer door bescherming van de burger tegen een overmatig bemoeizuchtige overheid. Maar wat is een overheid meer dan een reflectie van haar burgers. Hoe groot kan de invloed van een PVV-achtige partij worden, of van een Gouden Dageraad? Welke garantie hebben we dat een overheid in de toekomst, onder druk van een crisis en/of populistische onverdraagzaamheid, hele andere normen en waarden hanteert, en onze digitale identiteit misbruikt om haar doelen te bereiken?

De klassieke strijd tussen goed en kwaad

In mijn roman 'Advocaat van de waarheid', die onder meer laat zien hoe het ethisch besef in de samenleving kan verschuiven in tijden van crisis, zegt iemand: 'Je zei net dat technologie dienstbaar moet zijn aan de samenleving. Volgens mij zijn we hard op weg naar het tegenovergestelde. We raken volledig in de ban van technologie, als een ring die we niet meer van onze vinger af krijgen. Die maakt iets in ons wakker wat gevaarlijk is. We staren ons blind op de schittering, we raken verslaafd aan de macht die de ring ons geeft. Intussen zien we niet de gestaag groeiende schaduw waarin het licht van ons innerlijk weten dooft.' Dat is natuurlijk een knipoog naar 'The lord of the rings', naar de ring die steeds meer greep krijgt op Frodo Baggins en hem probeert te verleiden de macht van de ring te misbruiken. Zelfs de meest zuiveren van geest kunnen de donkere kant van de ring nauwelijks weerstaan. Het is de klassieke strijd tussen goed en kwaad.

Predictive policing

Predictive policing wordt in opsporingskringen de toekomst van de politie genoemd. Alle burgers digitaal in kaart brengen in een centrale database en daar via algoritmen een risicoanalyse op loslaten: alles wat afwijkt van 'het normale' zou verdacht kunnen zijn. Goed voor de veiligheid in de samenleving, en 'wie niets te verbergen heeft hoeft niets te vrezen'. Maar wie te veel (preventief) wil controleren en te vaak roept dat privacy moet wijken voor veiligheid, of de naam van een ministerie verandert in Veiligheid en (pas daarna) Justitie, begeeft zich op glad ijs.

Het recht om met rust gelaten te worden

Het recht om door de overheid met rust gelaten te worden is door de eeuwen heen bevochten en één van de belangrijkste pijlers van de democratie. We leven in een samenleving waarin de technologische mogelijkheden onbegrensd lijken. Technologie heeft ons veel gebracht, maar dat heeft ook een schaduwkant. Die duistere kant kan de meest elementaire menselijke waarde aantasten: onze persoonlijke vrijheid!

To hack, or not to hack...

De overheid mag de computers van haar burgers niet hacken, in ieder geval niet zonder een heldere visie die de privacy van burgers respecteert en waarborgt, ook in de toekomst. Die visie lijkt er nu niet te zijn.


Oorspronkelijke titel: 'De schaduwkant van technologie: to hack, or not to hack...', http://adriaanbos.blogspot.nl/2012/10/de-schaduwkant-van-technologie-to-hack.html, 24 oktober 2012 (met toestemming overgenomen van de auteur).
In maart 2012 verscheen de roman Advocaat van de waarheid; klik HIER voor een introductie.

Gepubliceerd in Columns

Onlangs wijdde KRO Reporter een televisie-reportage aan een concept-wetsvoorstel van minister Edith Schippers (Volksgezondheid) om politie en justitie toegang te geven tot lichaamsmateriaal bij ziekenhuizen en zogeheten biobanken. Het gaat dan om menselijk weefsel, bloed en DNA dat voor medisch onderzoek is opgeslagen en alsnog door politie en justitie zou kunnen worden gebruikt voor opsporingsdoeleinden. In juni 2012 besloot minister Schippers echter om het betreffende wetsvoorstel (Wet zeggenschap lichaamsmateriaal) niet bij de Tweede Kamer in te dienen, mede n.a.v. een kritische consultatieronde bij relevante maatschappelijke organisaties. Het was volgens Schippers aan het nieuwe kabinet om te bepalen "of er überhaupt een Wet zeggenschap lichaamsmateriaal nodig is". Op Radio Noord-Holland vond hier vanmiddag een discussie over plaats met als centrale vraag: moeten politie en justitie toegang krijgen tot medisch DNA? De hele uitzending (inclusief reacties van de landelijke artsenfederatie KNMG, Stichting Privacy First en kinderrechtenorganisatie Defence for Children) staat HIER online (16.00-17.00u). Klik HIER voor schriftelijke reacties van luisteraars en beluister hieronder het fragment met Vincent Böhre van Privacy First:

Gepubliceerd in Privacy First in de media

"Courts are investigating the legality of a European Union regulation requiring biometric passports in Europe. Last month, the Dutch Council of State (Raad van State, the highest Dutch administrative court) asked the European Court of Justice (ECJ) to decide if the regulation requiring fingerprints in passports and travel documents violates citizens’ right to privacy. The case entered the courts when three Dutch citizens were denied passports and another citizen was denied an ID card for refusing to provide their fingerprints. The ECJ ruling will play an important role in determining the legality of including biometrics in passports and travel documents in the European Union.

The Dutch Council referred the question of legality to the ECJ, arguing that the restrictions on privacy do not outweigh the ostensible aim of fraud prevention, and questioning the RFID technique. The Council also questioned whether fingerprints could be safeguarded so that they would only be used in passports or identity cards and not in databases for other purposes (known as function creep). The four cases that prompted this challenge to the biometric passport regulation are suspended pending the ECJ’s response.

The Netherlands has mandated fingerprints in passports and ID-cards since 2009. The Dutch biometric Passport Act is the misshapen offspring of the European Regulation compelling security features and biometrics in passports. The Regulation mandates that passports include two fingerprints taken flat in interoperable formats.

The Netherlands' storage of a biometric database was suspended in 2011, following privacy concerns as well as questions over the reliability of biometric technology. The Mayor of the City of Roermond reported that 21 percent of fingerprints collected in the city could not be used to identify any individuals. In April 2011, the Dutch Minister of Interior, in a letter to the Dutch House of Representatives, asserted that the number of false rejections was too high to warrant using fingerprints for verification and identification. Currently, only fingerprints stored in Radio Frequency Identification (RFID) chips embedded in ID documents are being collected.

The Amsterdam-based Privacy First Foundation (Stichting Privacy First) appreciates the critical stance on biometrics taken by the Dutch Council of State in line with the position taken by a German court:
"We hope the ECJ will soon rule that the European Passport Regulation is invalid both in a formal, procedural sense (having been improperly adopted in 2004) and in a material sense (violating the human right to privacy and data protection). In the meantime, we hope the Dutch Parliament will scrap compulsory fingerprinting for Dutch ID cards as soon as possible."

A government proposal to this effect is currently before the Dutch House of Representatives.


The Dutch Council concerns echo questions raised by a German court earlier this year regarding the legality of the German biometric passports with RFID chips. The German court has questioned whether the EU regulation is compatible with the Charter of Fundamental Rights of the European Union (EU Charter) and the European Convention of Human Rights (ECHR). The German case was preempted when a German citizen, Michael Schwarz, refused to provide his fingerprints to obtain his new passport and the City of Bochum decided not to issue him one.

Mr. Schwarz argued that the regulation infringes privacy as protected under the ECHR and the EU Charter. In this case, the German court argued that the European Union has no legislative competence to enact rules on standards for security features and biometrics in passports as there is no direct relation of such rules to the protection and security of EU external frontiers.

The German court decided that the requirement of biometric data in passports is a “serious infringement” on privacy, arguing that the measure does not satisfy the proportionality test of being appropriate, necessary, or reasonable."

Lees HIER het hele artikel (inclusief bronnen) op de website van de Amerikaanse Electronic Frontier Foundation (EFF).

Gepubliceerd in Privacy First in de media

Op 22 oktober as. vindt onze eerstvolgende "themaborrel" plaats ten kantore van Stichting Privacy First in het voormalige Volkskrantgebouw aan de Wibautstraat in Amsterdam. Als vervolg op de recente lezing door het Hoofd van de AIVD hebben wij Wil van Gemert uitgenodigd om nader in te gaan op het onderwerp cyber security. De heer Van Gemert is Directeur Cyber Security van de Nationaal Coördinator Terrorismebestrijding en Veiligheid en zal voor ons een lezing verzorgen op het snijvlak van veiligheid en privacy in cyberspace. Wat houdt cyber security precies in en wat zijn de actuele uitdagingen en dilemma’s? Wat is de rol van de overheid ten aanzien van de ontwikkelingen op het gebied van cyber security? En hoe kan de balans tussen privacy en security gevonden worden? Onderzoeksjournalist Brenno de Winter treedt tijdens de avond als moderator op. Tijdens de lezing is er volop ruimte voor vragen en discussie met het publiek. Hierna begeven wij ons naar de borrel in café-restaurant Canvas met muziek door DJ Wong featuring DJ Broky B.

Klik HIER voor de uitnodiging aan ons netwerk (pdf). Wegens grote belangstelling hebben wij besloten deze avond een semi-openbaar karakter te geven. Iedereen is dus welkom. Graag ontvangen wij Dit e-mailadres wordt beveiligd tegen spambots. JavaScript dient ingeschakeld te zijn om het te bekijken. een bevestiging van uw komst!

Datum: maandag 22 oktober 2012, aanvang 19.30u. Inloop vanaf 19.00u.
Locatie: Wibautstraat 150, 1091 GR Amsterdam. Lezing en discussie op begane grond (Grote Zaal), gevolgd door borrel op 7e verdieping (Canvas). Een routebeschrijving vindt u hier.

Update 6 november 2012: klik HIER voor ons verslag van de avond.

Gepubliceerd in Metaprivacy

"Vingerafdruk op paspoort schendt mogelijk recht op privacy, vindt Raad van State. Pas over een à anderhalf jaar meer duidelijkheid.

De Raad van State twijfelt of de Nederlandse overheid burgers mag verplichten vingerafdrukken af te staan voor een paspoort of identiteitskaart.

De regel schendt mogelijk het recht op privacy en daarom vraagt Nederlands hoogste rechtscollege advies aan het Hof van Justitie in Luxemburg. Dat heeft de Raad van State gisteren besloten in vier zaken tegen gemeenten die burgers een paspoort hadden geweigerd omdat zij geen vingerafdrukken wilden geven.

De Raad is er niet van overtuigd dat de vingerafdrukken nodig zijn om misbruik van reisdocumenten te voorkomen. Bovendien moet duidelijk worden of de overheid de plicht heeft om te waarborgen dat de vingerafdrukken alléén voor paspoorten en id-kaarten worden gebruikt.

Het duurt een tot anderhalf jaar voordat het Hof met een antwoord komt en tot die tijd liggen de zaken in Nederland stil.

De stichting Privacy First is blij met de kritische houding van de Raad van State. "Dat is meer dan we hadden gehoopt, het kan spannend worden", zegt jurist Vincent Böhre. "Het lijkt erop dat de Europese verordening weleens onrechtmatig zou kunnen zijn."

Een Duitse rechter toonde zich in mei dit jaar ook kritisch over de regelgeving en stelde het Luxemburgse Hof soortgelijke vragen over de vingerafdrukken. De Europese regel uit 2009 verplicht burgers om een afdruk van een duim en een vinger af te geven als zij een paspoort aanvragen. Deze informatie wordt opgeslagen in een chip in het document en moet misbruik door criminelen en terroristen voorkomen. Maar Duitse juridische experts stelden dat de pasfoto én de vingerafdrukken een ernstige inbreuk waren op iemands rechten, omdat de maatregel zijn doel voorbij schiet. Ook zo'n zogeheten biometrisch paspoort is niet waterdicht, stelden de deskundigen. Bovendien zijn er volgens hen genoeg manieren om de controles te omzeilen, waardoor de verzameling van vingerafdrukken van alle burgers weinig zin heeft. De privacy van goedwillende mensen zou dan zwaarder moeten wegen.

Burgerrechtenvereniging Vrijbit is niet blij met het uitstel. De mensen die zij bijstaat, kunnen voorlopig geen paspoort aanvragen. Vrijbit stelt dat de overheid deze mensen zo lang een vingerafdrukvrije id-kaart moet geven. Dat weigert het Rijk nog, maar dat kan veranderen als de Tweede Kamer snel instemt met het plan van het kabinet om vingerafdrukken niet langer voor id-kaarten te verplichten."

Bronnen: BN/DeStem, De Stentor, Apeldoornse Courant, Deventer Dagblad, Dagblad Flevoland, Gelders Dagblad, Sallands Dagblad, Veluws Dagblad, Nieuw Kamper Dagblad, Zwolse Courant, Brabants Dagblad, Dagblad De Limburger, Zutphens Dagblad, Twentse Courant Tubantia, Eindhovens Dagblad, Noordhollands Dagblad, Enkhuizer Courant, Leeuwarder Courant, Dagblad Zaanstreek, Alkmaarsche Courant, De Gelderlander, Haarlems Dagblad, Limburgs Dagblad & Provinciale Zeeuwse Courant, 29 september 2012.

Gepubliceerd in Privacy First in de media
Pagina 59 van 81

Onze Partners

logo Voys Privacyfirst
logo greenhost
logo platfrm
logo AKBA
logo boekx
logo brandeis
 
banner ned 1024px1
logo demomedia
 
 
 
 
 
Pro Bono Connect logo 100
Control Privacy
Procis

Volg ons via Twitter

twitter icon

Volg onze RSS-feed

rss icon

Volg ons op LinkedIn

linked in icon

Volg ons op Facebook

facebook icon