donatieknop english

"De omgang met privacygevoelige kentekenfoto's door de Belastingdienst was de afgelopen jaren technisch en organisatorisch niet op orde. Voor de fiscus niet-relevante gegevens over miljoenen kentekens werden jarenlang niet verwijderd.

Dat blijkt uit documenten die op verzoek van het ANP zijn vrijgegeven.

In interne memo's (pdf) staat dat "geen schoning" plaatsvond van de jaarlijks 1 miljoen kentekenfoto's die de fiscus zelf verzamelde met camera-auto's met automatische kentekenherkenning (ANPR). "De fotogegevens en metadata zijn vanaf 2010 nog beschikbaar".

Volgens de Wet bescherming persoonsgegevens mogen dit soort data niet langer worden bewaard dan noodzakelijk. Pas eind vorig jaar schoonde de fiscus eenmalig deze bestanden op. De Belastingdienst erkent dat het bewaren onterecht was.

Vernietigd

Inmiddels is het inwinnen en gebruik van de kentekenfoto's gestopt en zijn de gegevens vernietigd. Dat gebeurde nadat de Hoge Raad begin dit jaar had bepaald dat er geen wettelijke basis was om de kentekenfoto's te gebruiken voor het aantonen van privégebruik van auto's van de zaak.

Volgens de rechters was sprake van systematisch verzamelen van gegevens over de bewegingen van voertuigen.

In een reactie laat de Belastingdienst weten dat er "ten tijde van de uitspraak van de Hoge Raad een gestructureerd proces voor het systematisch vernietigen van de niet-relevante ANPR-gegevens in voorbereiding was". Ook zegt de dienst dat de opgeslagen gegevens wel "steeds volgens de geldende richtlijnen zijn beveiligd".

Beheer

Privacy First is kritisch en spreekt van een "opeenstapeling van onrechtmatigheden". Behalve het ontbreken van een wettelijke basis en het opslaan van niet-relevante gegevens, was volgens Vincent Böhre van de privacyorganisatie ook de "organisatorische puinhoop" onrechtmatig.

Ambtenaren concludeerden de afgelopen jaren dat het beheer "niet juist was belegd en ingeregeld". Er was sprake van ICT-problemen en provisorische systemen. Het beheer was niet ondergebracht bij de juiste afdelingen. Veel werk moest bovendien handmatig worden gedaan en het ontbrak aan deskundigheid en vaste werkwijzen. Het beheer van bewaartermijnen werd daardoor niet structureel, maar alleen ad hoc gedaan.

Dat was ook het geval bij de vele miljoenen foto's die de fiscus verkreeg uit ANPR-camera's van de politie. Niet-relevante gegevens werden hier wel binnen twee weken gewist, maar mogelijk bruikbare kentekenfoto's (52 miljoen van de 130 miljoen per jaar) bleven enkele jaren bewaard."

Bron: http://www.nu.nl/binnenland/4904951/belastingdienst-had-beheer-kentekenfotos-jarenlang-niet-orde.html , 2 september 2017.

Zie ook https://www.rtlnieuws.nl/geld-en-werk/onzorgvuldige-belastingdienst-bewaarde-kentekenfotos-veel-te-lang
http://www.telegraaf.nl/dft/29111797/__Kentekenfoto_s_onterecht_bewaard__.html
https://www.ad.nl/binnenland/kentekenfoto-s-door-belastingdienst-onterecht-bewaard~a45895b5/
https://nos.nl/artikel/2190991-belastingdienst-bewaarde-onterecht-kentekenfoto-s.html
https://www.nrc.nl/nieuws/2017/09/02/kentekenfotos-onterecht-door-belastingdienst-bewaard-a1572036
https://www.volkskrant.nl/politiek/belastingdienst-bewaarde-ten-onrechte-miljoenen-kentekenfoto-s~a4514668/
https://fd.nl/economie-politiek/1216719/fiscus-verzuimde-gegevens-kentekens-te-verwijderen
https://www.security.nl/posting/529607/Fiscus+bewaarde+niet-relevante+data+over+miljoenen+kentekens

Gepubliceerd in Cameratoezicht

Autoriteit Persoonsgegevens legt dwangsom op aan gemeente Arnhem vanwege privacyschending met adresgebonden afvalpassen 

Vandaag heeft de Autoriteit Persoonsgegevens (AP) bekendgemaakt dat zij aan de gemeente Arnhem een last onder dwangsom oplegt waarin de gemeente gelast wordt de verwerking van persoonsgegevens met adresgebonden afvalpassen binnen een maand te beëindigen. Reeds verzamelde gegevens dienen binnen twee maanden te worden verwijderd.

Drie jaar geleden voerde de gemeente Arnhem een systeem in waarmee persoonsgegevens worden verwerkt van alle Arnhemse huishoudens die restafval in ondergrondse afvalcontainers deponeren, door middel van adresgebonden afvalpassen. Op deze manier wordt geregistreerd WAAR (in welke container), WANNEER, HOEVEEL (aantal vuilniszakken) en door WIE (welk huishouden) er restafval wordt gedeponeerd.

Arnhemmer Michiel Jonker maakte bezwaar tegen deze onnodige registratie en voerde daartoe verschillende juridische procedures tegen zowel de gemeente Arnhem als de AP. Hoewel de AP in april 2017 als toezichthouder erkende dat er sprake is van een overtreding, besloot zij de overtreding te gedogen. Nadat de rechter Jonker op 13 juli 2017 opnieuw in het gelijk had gesteld, treft de AP nu alsnog een handhavingsmaatregel.

De handhavingsmaatregel van de AP moet vooral gezien worden als normstellend. Het bedrag van de dwangsom (€10.000 per twee weken als de overtreding niet wordt beëindigd, oplopend tot maximaal €50.000) is slechts een fractie van de kosten die de gemeente Arnhem de afgelopen drie jaar heeft gemaakt voor het illegale systeem, en in die zin nauwelijks afschrikwekkend.

De zaak van de heer Jonker wordt gesteund door Privacy First en vormt een belangrijk precedent. In haar motivering van het handhavingsbesluit benadrukt de AP dat er (in objectieve zin) ook sprake is van persoonsgegevens als de identiteit van een persoon indirect herleidbaar is, via middelen die kunnen worden ingezet door de verantwoordelijke (in dit geval de gemeente) of door enige andere organisatie of persoon.

Jonker: "Dat is een terecht standpunt dat de AP nu inneemt, in navolging van Europees privacyrecht. Privacy First zegt dat ook steeds. In de huidige tijd van Big Data en profilering met statistische methodes, kunnen allerlei gegevens gebruikt worden om iemand te identificeren. Daar moet je rekening mee houden bij het ontwerp van elk systeem." Jonker is ook blij dat de AP nu expliciet aangeeft dat de privacyschending veel mensen raakt. "Het gaat om ruim 150.000 Arnhemmers." Het besluit van de AP is bovendien van groot belang voor alle andere Nederlandse gemeenten met vergelijkbare afvalpassen en andere vormen van afvalregistratie.

Toch is Jonker niet tevreden met het besluit als geheel. "Blijkens haar besluit op mijn bezwaar, dat ik vandaag ook ontving, vindt de AP nog steeds dat er na invoering van Diftar (gedifferentieerde tarieven bij afvalinzameling) alsnog een noodzaak zou zijn voor verwerking van persoonsgegevens. Ik heb onderbouwd waarom dat ook na invoering van Diftar niet nodig is. Maar doordat de AP nu wèl handhaaft in de periode voorafgaand aan Diftar, is het de vraag of het voor mij op dit moment mogelijk is om van de rechter een oordeel te krijgen over de eventuele consequenties van Diftar voor de privacy van burgers. Het gaat dan om de juridische vraag van ‘procesbelang’. De gemeente wil nog steeds bij de invoering van Diftar persoonsgegevens gaan verzamelen, het gemeentelijke ‘gluren bij de burgers’ wordt vooralsnog alleen tijdelijk onderbroken, omdat de gemeente en de AP er nu even niet onderuit kunnen. Het ziet er dus helaas naar uit dat dit een kwestie is van: wordt vervolgd."

Privacy First zal u graag van het vervolg op de hoogte houden.

De tekst van het gehele handhavingsbesluit van de AP staat HIER (pdf, 13 pp).

Media:
https://www.security.nl/posting/526408/AP+legt+Arnhem+last+onder+dwangsom+op+voor+gebruik+afvalpas
http://www.gelderlander.nl/arnhem-e-o/arnhem-riskeert-boete-voor-afvalpas~a0a3f8f6/
http://www.arnhem-direct.nl/berichten/autoriteit-persoonsgegens-dreigt-met-50-000-euro-boete/
https://www.rtlz.nl/algemeen/binnenland/gemeente-arnhem-op-vingers-getikt-om-volgen-bewoners-met-afvalpas.
https://radar.avrotros.nl/nieuws/detail/arnhem-moet-stoppen-met-afvalpas-vanwege-privacy-inwoners/
https://tweakers.net/nieuws/127903/autoriteit-persoonsgegevens-dwingt-arnhem-blijvend-te-stoppen-met-afvalpas.html
http://www.binnenlandsbestuur.nl/bestuur-en-organisatie/nieuws/afvalpas-landelijk-onder-de-loep-na-uitspraak.9568678.lynkx
http://www.vngnieuws.nl/nieuws/redactie/afvalpas-alsnog-dwangsom-voor-arnhem.

Update 4 augustus 2017: gisteren heeft de heer Jonker bij de rechtbank Gelderland beroep ingesteld tegen (onder meer) het standpunt van de AP dat invoering van Diftar de verwerking van persoonsgegevens alsnog zou rechtvaardigen. Daarbij heeft Jonker benadrukt dat hij, met het oog op de vereisten van art. 8 EVRM (recht op privacy) en de rechtszekerheid, er procesbelang bij heeft dat hij in rechte kan opkomen tegen de afwijzing van dit onderdeel (inzake Diftar) van zijn handhavingsverzoek door de AP. Privacy First steunt Jonker bij deze nieuwe zaak.

De Arnhemse afvalzaak leidt inmiddels tot nationale onrust onder gemeenten en binnen de afvalbranche, getuige bijvoorbeeld dit bericht bij branche-organisatie NVRD. De inschatting van Privacy First is dat talloze Nederlandse gemeenten (evenals Arnhem) al jaren gebruik maken van privacyschendende afvalpassen en andere vormen van afvalregistratie (waaronder persoonsgebonden chips in containers). De AP weigert vooralsnog echter om tot actief onderzoek en handhaving bij andere gemeenten over te gaan, getuige bijvoorbeeld dit actuele bericht bij Binnenlands Bestuur. De AP acht het nu aan gemeenten om zelf orde op zaken te stellen en een privacyvriendelijk afvalbeleid in te voeren. Privacy First herhaalt hierbij haar eerdere standpunt: Nederlandse gemeenten dienen hun burgers een privacyvriendelijk alternatief voor een persoonsgebonden afvalpas te bieden, bijvoorbeeld in de vorm van een anonieme afvalpas zonder extra kosten. Desgewenst is Privacy First graag bereid om gemeenten daarbij te adviseren.

Update 8 februari 2018: Naar aanleiding van het beroep dat de heer Jonker op 3 augustus 2017 heeft ingediend, buigt de Rechtbank Gelderland zich vandaag over de vraag of de AP haar handhavingsmaatregel mag beperken tot alleen de situatie dat Diftar nog niet is ingevoerd. Jonker vindt dat de AP ook na invoering van Diftar moet handhaven, conform zijn handhavingsverzoek, op grond van het feit dat ook de invoering van Diftar geen noodzaak creëert voor enige verwerking van persoonsgegevens.

In de eerste zitting van deze nieuwe ronde buigt de rechtbank zich nog niet over de inhoud, maar alleen over de vraag of Jonker “procesbelang” heeft – zie Jonkers pleitnota (pdf). Op 26 januari 2018 heeft de AP aan de rechtbank laten weten dat zij een verzoek van de gemeente Arnhem om de handhavingsmaatregel nu al op te heffen, op 22 december 2017 heeft afgewezen. Maar de grond waarop de AP het verzoek van de gemeente afwees (artikel 5:34 Awb), vervalt in augustus 2018. De redenen waarom de gemeente zo snel om opheffing vroeg, heeft de AP nog niet aan Jonker willen vertellen. Mogelijk vraagt de rechtbank ernaar. Jonker spreekt van “helaas noodzakelijke juridische schermutselingen om te voorkomen dat de AP haar handhavingsplicht alsnog kan omzeilen”.

Update 13 juni 2018: het nieuwe college van B&W van de gemeente Arnhem ziet voorlopig af van de invoering van Diftar, en daarmee ook van de invoering van een afvalpas. Dat blijkt uit berichtgeving in De Gelderlander van 6 juni 2018. De verantwoordelijke wethouder noemt de privacy-problematiek niet, maar uit een ambtelijke voortgangsrapportage aan de gemeenteraad op 1 mei 2018 valt op te maken dat de juridische acties van Jonker m.b.t. privacy wel degelijk een rol spelen in de afweging die het college van B&W maakt. De Arnhemse gemeenteraad zal naar verwachting binnenkort een besluit nemen.

Update 20 maart 2019: op 14 maart 2019 heeft de AP de opgelegde last onder dwangsom weer opgeheven en daarmee de weg vrijgemaakt voor de gemeente Arnhem om toch weer persoonsgegevens te gaan verwerken bij de afvalinzameling. Op 18 maart 2019 heeft de heer Jonker daartegen bij de AP een bezwaarschrift ingediend.

Jonker: “De gemeente wil opnieuw zonder noodzaak persoonsgegevens gaan verwerken bij de afvalinzameling, maar die gegevens korter gaan bewaren dan vorige keer. Dat noemt de gemeente dan “een nieuwe omstandigheid”. De AP gaat daar braaf in mee en negeert daarbij de argumenten in mijn zienswijze van december 2018. Er is geen goede reden om de opgelegde handhavingsmaatregel in te trekken. Die was opgelegd voor onbepaalde tijd, zoals de rechtbank begin 2018 ook heeft aangegeven. Er is nog steeds geen wettelijke grondslag, want deze verwerking van persoonsgegevens is niet nodig voor de wettelijke taakvervulling van de gemeente, namelijk afvalinzameling op het gemeentelijke grondgebied. Maar kennelijk wil de AP bepaalde extra wensen van de gemeente inwilligen, ondanks het feit dat de gemeente geen duidelijkheid geeft wat deze keer nu weer het doel van de gegevensverwerking zou zijn. Gaat het om de bestrijding van vermeend, maar niet aangetoond “afvaltoerisme”? Of over een nieuw, maar nog niet uitgewerkt plan om Diftar (gedifferentieerde afvalheffing) te gaan invoeren? Het is niet duidelijk. Kennelijk wil de AP maar één ding: koste wat kost de wens van de gemeente faciliteren, in plaats van de wet te handhaven.”

Gevraagd naar zijn verwachting over de verdere gang van zaken, zegt Jonker: “Het belang van de zaak is ook gelegen in het precedent dat dit schept voor de toekomst. Op dit moment kan ik alleen bezwaar maken tegen de intrekking van de handhavingsmaatregel. Maar als de gemeente de privacy opnieuw daadwerkelijk gaat aantasten, door de afvalcontainers af te sluiten zodat ze alleen nog open kunnen met adresgebonden afvalpassen, dan zal ik daar opnieuw tegen opkomen. Bijvoorbeeld door bij de AP dan opnieuw een handhavingsverzoek in te dienen. Dan begint het hele circus weer van voren af aan. Dat zou opnieuw een verspilling van belastinggeld zijn. Daarom hoop ik dat de AP naar aanleiding van mijn bezwaarschrift alsnog tot inkeer zal komen. De AP moet gaan begrijpen dat wanneer zij zich niet opstelt als een toezichthouder/handhaver, maar als een handlanger van organisaties die zonder noodzaak persoonsgegevens willen verwerken, dat dan de geloofwaardigheid van de nieuwe privacy-regelgeving (AVG) in een mum van tijd verloren gaat.”

Update 6 augustus 2019: de gemeente Arnhem is in mei 2019 daadwerkelijk begonnen met het stapsgewijs opnieuw afsluiten van de afvalcontainers voor restafval. De gemeente wil ook de afvalcontainers voor plastic, metaal en drankverpakkingen gaan afsluiten, op dezelfde manier. In oktober wil de gemeente alle afvalcontainers hebben afgesloten. Op 16 juli 2019 heeft de AP Jonkers bezwaarschrift tegen de opheffing van de handhavingsmaatregel afgewezen. Op 5 augustus is Jonker daartegen in beroep gegaan bij de rechtbank, en heeft in connectie met dat beroep tevens een verzoek om voorlopige voorziening ingediend.

Jonker: "De gemeente recidiveert. Er is nu in essentie weer sprake van dezelfde situatie als ten tijde van de rechterlijke uitspraak in juli 2017. De gemeente heeft, zonder dat er een noodzaak is aangetoond, de afvalcontainers afgesloten zodat ze alleen nog toegankelijk zijn voor gebruikers van een adresgebonden afvalpas waarmee persoonsgegevens worden verwerkt. Alleen worden die nu korter bewaard. Het enige echte verschil is dat de AP destijds weigerde om te beginnen met handhaving, terwijl de AP nu willens en wetens een bestaande handhavingsmaatregel heeft opgeheven om de weg vrij te maken voor een hervatting van de overtreding. En dat terwijl sinds mei 2018 de AVG geldt, die gericht is op steviger handhaving. De AP doet dus het omgekeerde van wat de AVG beoogt. Dat is nog iets erger dan de weigering in 2017. In mijn verzoek aan de voorzieningenrechter heb ik de uitspraak van de voorzieningenrechter in 2017 geciteerd en verzocht om een schorsing van het opheffingsbesluit, net zoals de rechter in 2017 het weigeringsbesluit schorste. We gaan zien of de rechter de logica van mijn verzoek onderschrijft."

Media:
Security.nl, 7 augustus 2019: Arnhemmer weer naar rechter wegens gemeentelijke afvalpas
Omroep Gelderland, 7 augustus 2019: Arnhem blijft 'Big Brother spelen' met afval van inwoners
Omroep Gelderland, 8 augustus 2019: Deze Arnhemmer doet werkelijk alles voor zijn privacy
Tweakers, 8 augustus 2019: Arnhemmer stapt opnieuw naar de rechter wegens privacyschendende afvalpas
Radio-interview Omroep Gelderland, 8 augustus 2019:


Interview in NRC Handelsblad & NRC Next, 13 augustus 2019: ‘Iemand moet af en toe een grens trekken om de burger te beschermen’

Update 19 augustus 2019: het verzoek van de heer Jonker om een voorlopige voorziening inzake de Arnhemse afvalpas zal worden behandeld op donderdag 29 augustus om 10:00u in Arnhem, Paleis van Justitie, Walburgstraat 2-4. Zaaknummer: ARN 19/4217.

Gepubliceerd in Wetgeving

"Arnhem heeft voorlopig een einde gemaakt aan de ‘afvalpassensoap’. De gemeente stond de afgelopen jaren meerdere keren voor de rechter vanwege het schenden van privacy met afvalpassen voor ondergrondse containers. De komende weken zijn alle duizend containers in Arnhem ‘van het slot’ gehaald en opengesteld voor iedereen.

Combinatie met adresgegevens

De afvalpas scannen om de container te openen is voor Arnhemmers momenteel niet meer nodig. De gemeente heeft de beslissing genomen na een langlopende discussie over privacy met bewoner Michiel Jonker, die met de steun van Privacy First een juridische strijd aan is gegaan over de afvalpas. De combinatie van stortgegevens en adresgegevens vindt Privacy First een schending van de privacy.

'Geen andere mogelijkheid'

De gemeente laat aan De Gelderlander weten dat het geen andere mogelijkheid zag om aan de discussie een einde te maken. ‘Hoewel wij tot op heden op geen enkele wijze gebruik maken van een koppeling van de afvalpas en de stortgegevens, vindt het college het niet langer gewenst om deze situatie te laten voortbestaan.’ De wethouder zegt dat de gemeente niet wil weten wanneer bewoners hun afval storten, al is dit via een koppeling in theorie wel te achterhalen. En dat is in strijd met de Wet Bescherming Persoonsgegevens. Om het risico op te veel afval in de containers klein te houden is de gemeente aan het zoeken naar alternatieve toegangssystemen die niet in strijd zijn met de wet.

Discussie over besluitvorming

Jonker ging in 2014 bezwaar tegen de invoering van de afvalpas en vroeg de rechter om het gemeentelijke besluit ongedaan te maken. De rechter gaf de gemeente gelijk. Jonker ging daarop in hoger beroep bij de Raad van State. Deze besloot dat de gemeente nooit een formeel besluit heeft genomen voor het verzamelen van persoonsgegevens. De gemeente Arnhem ging ondanks die uitspraak verder met de adresgebonden afvalpassen.

'AP had situatie niet mogen gedogen'

Er volgde daarna een handhavingsverzoek van Jonker bij de Autoriteit Persoonsgegevens. Die wees het verzoek op 20 april 2017 af, omdat de toezichthouder vindt dat er sprake is van een ‘bijzondere omstandigheid’, aangezien de gemeente eind maart 2017 heeft besloten tot invoering van DIFTAR (gedifferentieerde afvalheffing) per 1 januari 2018. Jonker legde de zaak opnieuw aan de rechter voor. Daaruit bleek dat de Autoriteit Persoonsgegevens de situatie niet had mogen gedogen. Naar verwachting neemt de Autoriteit eind augustus een nieuw besluit. Tot die tijd zijn de containers zonder afvalpas toegankelijk."


Bron: http://www.binnenlandsbestuur.nl/bestuur-en-organisatie/nieuws/arnhem-stelt-ondergrondse-containers-voorlopig.9568246.lynkx, 26 juli 2017.

Zie ook http://www.gelderlander.nl/arnhem-e-o/arnhemmer-kan-voorlopig-afval-weggooien-zonder-afvalpas~a4bd049f/,
http://www.omroepgelderland.nl/nieuws/2139430/Arnhem-haalt-slot-van-ondergrondse-afvalcontainer en
http://www.arnhem-direct.nl/berichten/voorlopig-einde-discussie-privacy-afvalpas-ondergrondse-containers-gaan-open/, 24 juli 2017.

Zie voor meer achtergrondinformatie https://www.privacyfirst.nl/aandachtsvelden/wetgeving/item/1081-gedoogbeleid-autoriteit-persoonsgegevens-rond-afvalpas-onder-vuur.html.

Gepubliceerd in Privacy First in de media

Rechter buigt zich over privacyschending gemeentelijke afvalpassen

Op vrijdag 7 juli as. om 12:00 uur behandelt de Rechtbank Gelderland een zaak die voor alle Nederlandse gemeenten precedentwerking heeft als het gaat om de plicht om de privacy van hun burgers te respecteren bij het inzamelen van huishoudelijk afval en andere publieke taken. Arnhemmer Michiel Jonker, die hierover eerder al een rechtszaak bij de Raad van State won, verzoekt de voorzieningenrechter om de Autoriteit Persoonsgegevens opdracht te geven om te stoppen met gedogen en nu zonder verder uitstel te gaan handhaven tegen een privacyschendend systeem van de gemeente Arnhem met adresgebonden afvalpassen. Dergelijke afvalpassen worden in steeds meer Nederlandse gemeenten ingevoerd.

De voorzieningenrechter van de Rechtbank Gelderland (Arnhem) zal zich buigen over de vraag of de Autoriteit Persoonsgegevens (AP) mag weigeren om handhavend op te treden als een jarenlange, reeds geconstateerde privacyschending over ongeveer een jaar misschien wel, maar misschien ook niet eindigt. Een zaak met veel precedentwerking.

Drie jaar geleden voerde de gemeente Arnhem een registratiesysteem in waarmee persoonsgegevens van alle Arnhemse huishoudens die restafval in ondergrondse afvalcontainers deponeren, door middel van adresgebonden afvalpassen worden verwerkt. Arnhemmer Michiel Jonker maakte hiertegen bezwaar en diende bij de AP handhavingsverzoeken in. Hoewel de AP inmiddels zelf ook erkent dat er sprake is van een overtreding, weigert de AP echter nog steeds om als toezichthouder handhavend op te treden.

Met ingang van juli 2014 verwerkt de gemeente Arnhem persoonsgegevens van meer dan 150.000 Arnhemmers wanneer ze hun restafval (vuilniszakken) correct deponeren in de daartoe bestemde ondergrondse afvalcontainers. De containers kunnen alleen nog worden geopend door middel van adresgebonden afvalpassen. Op deze manier wordt geregistreerd WAAR (in welke container), WANNEER, HOEVEEL (aantal vuilniszakken) en door WIE (welk meerpersoons- of éénpersoonshuishouden) er restafval wordt gedeponeerd.

Jonker maakte daar meteen na het bekend worden van deze maatregel in juni 2014 bezwaar tegen en diende tevens een handhavingsverzoek in bij de AP (toen nog College Bescherming Persoonsgegevens geheten). Op 26 april 2016 gaf de Afdeling Bestuursrechtspraak van de Raad van State Jonker gelijk dat het systeem zonder legaal besluit was ingevoerd. De gemeente negeerde deze uitspraak echter. Jonker hernieuwde vervolgens zijn handhavingsverzoek bij de AP.

Na aandringen van Jonker erkende de AP op 20 april 2017 dat de gemeente de Wet bescherming persoonsgegevens (Wbp) overtreedt. Tegelijk kondigde de AP echter aan die overtreding te zullen blijven gedogen, omdat er volgens de toezichthouder sprake is van "concreet uitzicht op legalisering", in verband met een op 27 maart 2017 genomen principebesluit van de Arnhemse gemeenteraad om aan het college van B&W een voorwaardelijk mandaat te verlenen voor de invoering van een zogeheten Diftar-systeem vanaf 1 januari 2018.

Volgens de gemeente en de AP rechtvaardigt een Diftar-systeem (het heffen van een gedifferentieerd tarief naar rato van de hoeveelheid gedeponeerd afval) de verwerking van persoonsgegevens van burgers. Jonker bestrijdt dit, omdat er ook na invoering van Diftar geen noodzaak bestaat voor het verzamelen en bewaren van persoonsgegevens die op verschillende manieren kunnen worden gebruikt en misbruikt. Ook vindt Jonker dat het achteraf toekennen van een nieuwe doelstelling aan een bestaande overtreding, die overtreding niet kan rechtvaardigen. Bovendien zijn er goede alternatieven, bijvoorbeeld een anonieme, met saldo laadbare prepaid-afvalpas.

Volgens Jonker leidt het jarenlang voortbestaan en gedogen van een overtreding inmiddels tot een spoedeisend belang bij geloofwaardige handhaving. Dit mede omdat privacyschending een aantasting is van de persoonlijke integriteit van mensen. Hoe langer die duurt, hoe meer schade. Ook gaat dit ten koste van hun vrijheid. Jonker verzoekt de rechter dan ook om de AP opdracht te geven zonder verder uitstel een last onder dwangsom op te leggen aan de gemeente.

Privacy First steunt Jonker in deze zaak: Nederlandse gemeenten dienen hun burgers een privacyvriendelijk alternatief voor een persoonsgebonden afvalpas te bieden, bijvoorbeeld in de vorm van een anonieme afvalpas zonder extra kosten.


Zaakinformatie: Jonker vs. Autoriteit Persoonsgegevens, rechtbank Gelderland (locatie Arnhem) 7 juli 2017, 12.00u. Klik HIER voor een routebeschrijving. Zaaknummer: ARN 17 / 2340. Iedereen is welkom om de rechtszitting bij te wonen.


Update 7 juli 2017: de rechtszitting vanmiddag verliep relatief voorspoedig. Klik HIER voor de pleitnota van de heer Jonker (pdf). Een korte mondelinge uitspraak van de rechter staat vooralsnog gepland op donderdagmiddag 13 juli as., het schriftelijke vonnis volgt de dag daarna. Lees ook het artikel in De Gelderlander, 7 juli 2017: http://www.gelderlander.nl/arnhem-e-o/rechter-beslist-over-illegale-arnhemse-afvalpas~a7a05c80/.

Update 11 juli 2017: de invoering van Diftar in Arnhem wordt waarschijnlijk uitgesteld tot 1 januari 2019, zie http://www.arnhem-direct.nl/berichten/gemeenteraad-besluit-niet-tot-uitstel-invoering-diftar/. Zie bijvoorbeeld ook https://arnhem.groenlinks.nl/nieuws/raad-pakt-zelf-verantwoordelijkheid-voor-invoering-diftar-na-geharrewar-coalitie.

Update 13 juli 2017: De voorzieningenrechter van de Rechtbank Gelderland heeft Jonkers verzoek vandaag toegewezen en daarom het besluit van de AP geschorst. De rechter oordeelde dat er bij een (voortdurende) privacyschending sprake is van spoedeisendheid bij de handhaving, en dat er in het geval van de Arnhemse adresgebonden afvalpas geen concreet uitzicht bestaat op legalisatie. Gezien het feit dat de AP waarschijnlijk binnen vier weken, en uiterlijk 24 augustus a.s. zijn afwijzende besluit heroverweegt n.a.v. Jonkers bezwaar, achtte de rechter het niet opportuun om de AP te verplichten nu al een last onder dwangsom op te leggen. De rechter sprak wel de verwachting uit dat de AP zal gaan handhaven. Voor de tekst van de rechterlijke uitspraak, zie ECLI:NL:RBGEL:2017:3665.
Zie ook de volgende berichtgeving in de media:
http://www.arnhem-direct.nl/berichten/arnhemse-afvalpas-opnieuw-onder-vuur/
http://www.telegraaf.nl/binnenland/28634796/__Arnhemse_afvalpas_onder_vuur__.html
http://www.binnenlandsbestuur.nl/ruimte-en-milieu/nieuws/arnhemse-afvalpas-houdt-illegaal-gegevens-bij.9567672.lynkx
http://www.gelderlander.nl/arnhem/rechter-autoriteit-had-moeten-optreden-tegen-afvalpas-arnhem~ac57f1b6/
http://www.nu.nl/alphen-aan-den-rijn/4841094/alphen-wellicht-in-overtreding-met-gebruik-afvalpas.html
https://radar.avrotros.nl/nieuws/detail/rechter-verwijst-arnhemse-afvalpas-voorlopig-naar-de-prullenbak/
https://www.privacybarometer.nl/nieuws/3909/Rechter_geeft_Autoriteit_Persoonsgegevens_er_van_langs.

Update 24 juli 2017: vandaag heeft de gemeente Arnhem besloten om alle ondergrondse afvalcontainers 'open' te zetten. Om afval te storten hebben Arnhemmers voorlopig dus geen afvalpas meer nodig. Zie de berichtgeving in De Gelderlander, bij Omroep Gelderland en Arnhem Direct. Privacy First hoopt dat andere gemeenten in een vergelijkbare situatie als Arnhem dit voorbeeld zullen volgen en het gebruik van privacyschendende afvalpassen zullen afschaffen.

Gepubliceerd in Wetgeving
vrijdag, 23 juni 2017 11:12

Het begon eigenlijk al in de peuterklas

Door Simone van Dijk


Het begon eigenlijk al in de peuterklas. Mijn zoontje vertelde dat hij een filmpje had gezien op de computer. Een filmpje? Hoezo? Ik breng mijn kind niet naar de peuterspeelzaal om filmpjes te kijken, ik breng mijn kind om te spelen. Spelen met andere kindjes, omdat hij daar aan toe was. Bovendien wil ik bepalen welke filmpjes mijn kind te zien krijgt, als hij al filmpjes te zien krijgt. Andere ouders waren ook ontstemd, en toch was ik de enige die er wat van zei. De peuterleidster trok verbaasd een wenkbrauw omhoog en mompelde dat het toch allemaal niet erg was.

We should run through the forest  
We should swim in the streams  
We should laugh, we should cry,  
We should love, we should dream  
We should stare at the stars and not just the screens  
You should hear what I'm saying and know what it means  
                                    (Scare away the Dark – Passenger (singer-songwriter)

Inmiddels was de peuterklas tevens kinderopvang geworden en moesten er camera’s geplaatst worden als ‘tweede paar ogen’. Dat scheelde een personeelslid. Op het hoofdkantoor, ver weg in een andere stad, kon er dan meegekeken worden. Uiteraard werd ons toestemming gevraagd en verzekerd dat de beelden tijdig zouden worden vernietigd en in geen geval voor andere doeleinden zouden worden gebruikt. Nee zeggen was geen optie. En hoe konden wij controleren dat deze beelden inderdaad niet werden opgeslagen en voor andere doeleinden werden gebruikt? En zijn deze beelden inmiddels wel vernietigd?

Uiteraard werd er ook nog even wifi aangelegd. Men is nog niet eenduidig over het feit of dit al dan niet schadelijk is voor (kleine) kinderen en volwassenen. Toch heeft de Raad van Europa in 2011 een resolutie aangenomen welke de lidstaten aanbeveelt om geen wifi op (lagere) scholen en in kinderopvangen aan te leggen. In landen als Frankrijk, Israël, Rusland, Argentinië en Canada wordt hier gehoor aan gegeven. Maar goed, daar hoef je als ouder al helemaal niet mee aan te komen. Voordat je het weet ben je de ‘wifiheks’ en wordt je überhaupt niet meer serieus genomen.

Geschokt was ik toen ik mijn vierjarige zoontje voor het eerst naar de kleuterklas (groep 1/2) bracht en er opeens een groot digiboard aan de muur hing. De Google toolbar schreeuwde ons in felle kleuren tegemoet. Dat is dus het eerste wat je kind ziet als hij ‘s morgens de klas in komt. Het voelt bijna als hersenspoelerij. Wat doet een digiboard in een kleuterklas? En als het niet gebruikt wordt, moet het dan aanstaan? Met daarop het logo van Google? Vanwege het digiboard wordt het licht in de klas altijd gedempt. Zon of geen zon, de gordijnen zijn dicht, lichten uit en zonneschermen naar beneden.

De schoolcomputers stonden eerst nog op de gang. Kinderen uit groep 3 konden vrijelijk op internet surfen en deden dit dan ook. Combinaties van woorden die tot pornografische plaatjes zouden leiden werden openlijk ingetypt. Bij navraag bleek er geen kinderslot op de computers te zitten. En tja, de juffen konden toch niet alles in de gaten houden... Spelletjes met tanks die er op losschoten werden openlijk gespeeld, dat waren namelijk rekenspelletjes; zeer leerzaam.

Als mijn kleutertje naar de toilet moest lopen over de gang dan kon hij rechts van hem schietende tanks zien en nare pornoplaatjes, terwijl op het digiboard links in de klas nare beelden van het jeugdjournaal over terroristische aanslagen werden vertoond ofwel een filmpje van ‘twerkende’ dames werd bekeken.

Maar niet getreurd! ‘De ouders’ hadden besloten dat er Chromebooks aangeschaft zouden worden. ‘De Ouders’? Mij was niets gevraagd. Chromebooks zijn kleine laptops zonder harde schijf. Alle informatie wordt opgeslagen in de clouds van Google. De kinderen loggen in op hun eigen naam. Leuk, want ook in de kleuterklassen (groep 1 en 2 ) zouden ze worden gebruikt. Er zou meer toezicht zijn en misbruik van internet zou niet meer mogelijk zijn. O ja, en nu moest er door de hele school wifi komen, natuurlijk.

Inmiddels stonden al mijn nekharen overeind. Ik heb mij tot de directie gericht en gevraagd: wat is jullie beleid en visie ten aanzien van het computergebruik? Wat is het doel van het gebruik? Hebben jullie nagedacht over de veiligheid van de kinderen, zowel qua privacy (persoonsgegevens en leerresultaten) als qua gezondheid (nekklachten, gehoorklachten, oogklachten, wifistraling). Hoe werken deze computers? Wat doen onze kinderen eigenlijk op deze computer? Zit er een kinderslot op de computers? Worden de kinderen beschermd tegen schadelijke content? Opslag van de leergegevens van mijn kind in de cloud van Google, dat is toch niet veilig? De directie had eigenlijk geen antwoord, behalve dan dat wij de enigen waren die hier over klaagden en andere scholen hier ook allemaal niet mee bezig waren.

Na veel aandringen door mij werd er een avond georganiseerd over het ICT-gebruik binnen school. De avond was niet meer dan een marketing-praatje van de leverancier van de Chromebooks. Met open mond en kloppend hart heb ik zitten luisteren. Zelfs ik durfde deze avond nauwelijks wat te zeggen. Immers iedereen die vraagtekens zou zetten bij de digitalisering werd direct vergeleken met Khadaffi en Assad, die hun koninkrijken kwijt zouden hebben geraakt door niet met de tijd mee te gaan! Nou, durf dan nog maar wat te zeggen!

Kortom, durf als ouder maar eens op te komen voor de rechten van je kind. Als je al überhaupt weet wat deze rechten zijn.

Wij waren niet de enige ouders die zorgen hadden over de digitalisering op school. Wij waren wel de enige ouders die echt actie ondernamen. De houding van veel ouders is al gauw van ‘ach ja, het is de toekomst, je kan het toch niet tegenhouden’. Maar nee, het is niet de toekomst, het is het heden! En ja, het valt wel tegen te houden, je moet er alleen wat aan doen!

En dat is wat ik nu doe, samen met Privacy First. Ik wil andere ouders inspireren om op te komen voor de rechten van hun kinderen en hen wegwijs maken in de rechten die zij hebben. Het recht op privacy, het recht om ongezien fouten te maken in je jeugd, het recht op gezond onderwijs, het recht om niet verslaafd te raken aan apparatuur, het recht om jezelf te kunnen zijn en te kunnen blijven in alle vrijheid, zonder dat je van jongs af aan al geprofileerd wordt!

Gepubliceerd in Kinderen en Privacy

Targeted surveillance in plaats van mass surveillance is de juiste way forward. Op 31 mei 2017 vond hierover een buitengewoon informatief en overtuigend paneldebat plaats in het Europees Parlement. Aan het debat namen de volgende experts deel: Sophie in 't Veld (lid Europees Parlement), Julian King (buitenlands en veiligheidsbeleid Europese Commissie), Bill Binney (voormalig technisch directeur NSA), Jan van Oort (chief engineer Kivu Technologies) en Federico Fabbrini (hoogleraar rechtsgeleerdheid, Stadsuniversiteit Dublin). Bekijk hieronder de hele video en trek zelf uw eigen conclusies:

Gepubliceerd in Wetgeving

Morgen zal Nederland in Genève onder de loep worden genomen door het hoogste mensenrechtenorgaan ter wereld: de Mensenrechtenraad van de Verenigde Naties (VN). Sinds 2008 wordt de mensenrechtensituatie in elk land periodiek door de VN Mensenrechtenraad beoordeeld. Deze procedure vindt voor iedere VN-lidstaat elke vijf jaar plaats en heet "Universal Periodic Review" (UPR).

Schaduwrapportage Privacy First

Bij de vorige UPR-sessies in 2008 en 2012 kreeg Nederland relatief veel kritiek. Momenteel zijn de Nederlandse privacy-vooruitzichten slechter dan ooit. Reden voor Privacy First om een aantal zaken actief bij de VN aan te kaarten. Dit deed Privacy First in september 2016 (een week voor de VN-deadline) middels een zogeheten schaduwrapportage: een rapportage waarin een maatschappelijke organisatie haar zorgen over een bepaald thema kenbaar maakt. (Voor dergelijke rapportages gelden bij de Mensenrechtenraad overigens strikte eisen, waaronder een strikte woordenlimiet.) Zonder schaduwrapportages kunnen VN-diplomaten hun werk immers niet goed doen. Men zou dan namelijk afhankelijk blijven van eenzijdige, veelal rooskleurige staatsrapportages. Dus diende Privacy First een eigen rapportage over Nederland in met daarin onder meer de volgende aanbevelingen:

  • Verbetering van Nederlandse mogelijkheden voor maatschappelijke organisaties om collectieve rechtszaken te kunnen voeren.

  • Invoering van Grondwettelijke toetsing door de Nederlandse rechterlijke macht.

  • Betere wetgeving rondom profiling en datamining.

  • Géén invoering van automatische nummerplaatregistratie (ANPR) zoals momenteel beoogd.

  • Opschorting van het ongereguleerde grenscontrolesysteem @MIGO-BORAS.

  • Geen herinvoering van brede dataretentie (algemene telecom-bewaarplicht).

  • Geen mass surveillance onder de nieuwe Wet op de inlichtingen- en veiligheidsdiensten (Wiv) en scherper rechterlijk toezicht op geheime diensten.

  • Intrekking van de ‘politie-hackwet’ (wetsvoorstel Computercriminaliteit III).

  • Een vrijwillig, regionaal i.p.v. landelijk EPD met 'privacy by design'.

  • Invoering van een anonieme OV-chipkaart die écht anoniem is.

Onze hele rapportage treft u HIER aan (pdf). De rapportages van andere organisaties vindt u HIER.

Ambassades

Naast de Mensenrechtenraad verzond Privacy First haar rapportage begin dit jaar tevens aan alle buitenlandse ambassades in Den Haag. Naar aanleiding daarvan vonden de laatste maanden uitgebreide (vertrouwelijke) meetings plaats tussen Privacy First en de ambassades van Bulgarije, Argentinië, Australië, Griekenland, Duitsland, Chili en Tanzania, waarbij de rang van onze gesprekspartners varieerde van senior diplomaten tot ambassadeurs. Tevens ontving Privacy First positieve reacties op onze rapportage vanuit de ambassades van Zweden, Mexico en het Verenigd Koninkrijk. Bovendien werden enkele passages uit onze rapportage overgenomen in de VN-samenvatting over de algehele mensenrechtensituatie in Nederland; klik HIER ('Summary of stakeholders' information', par. 47-50).

Hopelijk zal e.e.a. morgen effectief blijken. Dit is echter niet te garanderen, aangezien het hier een interstatelijk, diplomatiek proces betreft en veel onderwerpen in onze rapportage (en recente gesprekken) evengoed gevoelige kwesties zijn in talloze andere VN-lidstaten.

VN Mensenrechtencomité

Een vergelijkbare rapportage werd door Privacy First in december 2016 ingediend bij het VN Mensenrechtencomité in Genève. Dit Comité houdt periodiek toezicht op de Nederlandse naleving van het VN Verdrag inzake Burgerrechten en Politieke Rechten (IVBPR). Mede naar aanleiding van deze rapportage heeft het Mensenrechtencomité vorige week o.a. de Wiv, camerasysteem @MIGO-BORAS en de bewaarplicht telecomgegevens (dataretentie) geagendeerd voor de komende Nederlandse sessie in 2018 (zie par. 11, 27).

Wij hopen dat onze input door zowel de VN Mensenrechtenraad als het VN Mensenrechtencomité benut zal worden en tot opbouwende kritiek en internationale uitwisseling van 'best practices' zal leiden. Privacy First zal u hier graag van op de hoogte houden.

De Nederlandse UPR-sessie vindt morgen plaats van 9.00-12.30u en zal live te volgen zijn op internet.

Update 10 mei 2017: de Nederlandse regeringsdelegatie (geleid door minister Plasterk) ontving tijdens de UPR-sessie in Genève vandaag kritische aanbevelingen over mensenrechten en privacy in relatie tot contraterrorisme door Canada, Duitsland, Hongarije, Mexico en Rusland. Klik HIER voor de video van de hele UPR-sessie. Publicatie van alle aanbevelingen door de VN Mensenrechtenraad volgt op 12 mei as.

Update 12 mei 2017: vandaag om 18u zijn alle aanbevelingen aan Nederland door de VN Mensenrechtenraad gepubliceerd, klik HIER (pdf). Nuttige adviezen aan Nederland inzake het recht op privacy zijn afkomstig van Duitsland, Canada, Spanje, Hongarije, Mexico en Rusland, zie par. 5.29, 5.30, 5.113, 5.121, 5.128 & 5.129. Hieronder de betreffende aanbevelingen. Nader commentaar door Privacy First volgt.

Extend the National Action Plan on Human Rights to cover all relevant human rights issues, including counter-terrorism, government surveillance, migration and human rights education (Germany);  

Extend the National Action Plan on Human Rights, published in 2013 to cover all relevant human rights issues, including respect for human rights while countering terrorism, and ensure independent monitoring and evaluation of the Action Plan (Hungary);

Review any adopted or proposed counter-terrorism legislation, policies, or programs to provide adequate safeguards against human rights violations and minimize any possible stigmatizing effect such measures might have on certain segments of the population (Canada);

Take necessary measures to ensure that the collection and maintenance of data for criminal [investigation] purposes does not entail massive surveillance of innocent persons (Spain);

Adopt and implement specific legislation on collection, use and accumulation of meta-data and individual profiles, including in security and anti-terrorist activities, guaranteeing the right to privacy, transparency, accountability, and the right to decide on the use, correction and deletion of personal data (Mexico);

Ensure the protection of private life and prevent cases of unwarranted access of special agencies in personal information of citizens in the Internet that have no connection with any illegal actions (Russian Federation). [sic]

Update 26 mei 2017: inmiddels is een vollediger VN-verslag van de UPR-sessie (inclusief weergave van de 'interactive dialogue' tussen VN-lidstaten en Nederland) gepubliceerd; klik HIER (pdf). In september wordt bekend welke aanbevelingen de Nederlandse regering zal accepteren en implementeren.


Update 22 september 2017:
de Nederlandse regering heeft inmiddels bekendgemaakt (pdf) dat het van bovenstaande aanbevelingen slechts de Spaanse uitdrukkelijk accepteert:

Take necessary measures to ensure that the collection and maintenance of data for criminal purposes does not entail massive surveillance of innocent persons.

Privacy First beschouwt dit als een bindende internationale toezegging en zal de Nederlandse regering daar aan houden, bijvoorbeeld bij actuele wetsvoorstellen die hiermee in strijd zijn.

De overige VN-aanbevelingen (door Duitsland, Canada, Mexico, Hongarije en Rusland) neemt Nederland vooralsnog slechts voor kennisgeving aan (deze zijn "noted", in diplomatenjargon). Nederland doet daarbij slechts de volgende toezegging:

"The current Action Plan will not be amended, but the recommendations [made by Germany and Hungary] will be considered during the development of a new one."

Dit biedt enig perspectief. Te zijner tijd zal Privacy First hierover met de verantwoordelijke ministeries in overleg treden.

Gepubliceerd in Wetgeving

Autoriteit Persoonsgegevens erkent massale privacyschending, maar weigert in te grijpen 

Na een jarenlange juridische strijd heeft de Autoriteit Persoonsgegevens (AP) recentelijk besloten om niet handhavend op te treden tegen de afvalpas van de gemeente Arnhem, terwijl diezelfde AP tegelijkertijd heeft erkend dat het actuele gebruik van deze afvalpas volledig in strijd is met de Wet bescherming persoonsgegevens. Naast Arnhem dreigt de afvalpas ook in talloze andere Nederlandse gemeenten te worden ingevoerd. De Arnhemse burger (de heer Michiel Jonker) die deze zaak de laatste jaren aanhangig maakte bij zowel de AP als bij de Raad van State, is hierdoor gedwongen om deze kwestie nu opnieuw aan de rechter voor te leggen ter beëindiging van deze flagrante privacyschending.

Afwijzing handhavingsverzoek wegens "bijzondere omstandigheid"

Nog voordat de gemeente Arnhem bijna drie jaar geleden een systeem van adresgebonden afvalpassen invoerde, werd de Autoriteit Persoonsgegevens er door de heer Jonker op attent gemaakt dat hiermee de privacy van alle Arnhemmers werd geschonden, in strijd met de Wet bescherming persoonsgegevens (Wbp).

De AP deed als toezichthouder en handhaver vervolgens twee jaar lang niets, terwijl Jonker juridische procedures voerde tot aan de Raad van State, die hem op 26 april 2016 in het gelijk stelde. Omdat de gemeente Arnhem vervolgens weigerde om gevolg te geven aan de uitspraak van de hoogste bestuursrechter, diende Jonker op 31 mei 2016 (opnieuw) een handhavingsverzoek in bij de AP.

Op 20 april jl. heeft de AP dit handhavingsverzoek afgewezen. Weliswaar constateerde de AP dat de gemeente al drie jaar lang in overtreding is, maar omdat de gemeente eind maart 2017 heeft besloten tot de invoering van DIFTAR (gedifferentieerde afvalheffing) per 1 januari 2018, ziet de AP dat als een "bijzondere omstandigheid" waardoor er alsnog kan worden afgezien van handhaving.

Gemeentelijk "bedrijfsmodel"

Per 1 juli 2014 installeerde de gemeente Arnhem op elke ondergrondse container voor restafval een scannersysteem, waardoor deze containers alleen nog geopend kunnen worden met een elektronisch pasje, gekoppeld aan de adresgegevens van de pashouder. De aldus verzamelde persoonsgegevens worden verwerkt in een centraal datasysteem van de gemeente (WIE biedt WAAR en WANNEER restafval aan). Volgens de gemeente is dat "nodig". Jonker bestrijdt dit. Hij wijst erop dat de noodzaak niet is aangetoond en dat er ook andere, privacyvriendelijke systemen mogelijk zijn, bijvoorbeeld met anonieme pasjes zonder uniek nummer.

In haar besluit tot afwijzing van Jonkers handhavingsverzoek bevestigt de AP dat de gemeente sinds juli 2014 zonder noodzaak persoonsgegevens over al haar inwoners heeft verzameld. Maar omdat die noodzaak er volgens de AP wel zal zijn vanaf 1 januari 2018, wanneer Arnhem het DIFTAR-systeem (gedifferentieerd afvaltarief) invoert, bestaat er nu volgens de AP "concreet uitzicht op legalisatie".

De door Jonker aangevoerde alternatieven worden door de AP verworpen omdat ze niet in overeenstemming zouden zijn met het "bedrijfsmodel" waarvoor de gemeente heeft gekozen. Ook voert de AP aan dat de verwerking van de persoonsgegevens "past" bij de publieke taakvervulling van de gemeente. De AP negeert daarmee het wettelijke criterium dat de verwerking van persoonsgegevens niet alleen moet passen bij, maar ook noodzakelijk moet zijn voor de uitvoering van een publieke taak.

Autoriteit Persoonsgegevens faciliteert privacyschending

Jonker: "Ook voor DIFTAR is verwerking van persoonsgegevens niet nodig. De AP stelt zich hier niet op als handhaver, maar als advocaat van de overtreder. Door de bescherming van een grondrecht ondergeschikt te maken aan de "bedrijfsmodellen" die organisaties kiezen, geeft de AP een vrijbrief aan zowel overheden als particuliere bedrijven om de wet op dit punt uit te schakelen. Op deze manier kan een overheid eerst illegaal persoonsgegevens verwerken, waarbij dan een nieuw "bedrijfsmodel" wordt ingevoerd, en vervolgens claimen dat het respecteren van de wettelijke eisen in strijd zou zijn met dit nieuwe "bedrijfsmodel". Dan blijft er van de rechtsstaat natuurlijk weinig over. Het is een voorbeeld van doorgeschoten neoliberalisme", aldus Jonker.

Jonker geeft aan bij de rechtbank in beroep te gaan tegen de afwijzing. "Ik zal aan de AP vragen of die instemt met een rechtstreeks beroep bij de rechter. Want tussen mij en de AP zijn er de afgelopen drie jaar wel voldoende argumenten gewisseld. Verdere vertraging is niet wenselijk."

Stichting Privacy First steunt de heer Jonker in deze zaak. Verzoeken om interviews met Jonker kunnen via Privacy First worden ingediend.

Update 2 mei 2017: zie ook https://www.security.nl/posting/513015/Toezichthouder+treedt+toch+niet+op+tegen+afvalpasjes+Arnhem
http://www.arnhem-direct.nl/berichten/autoriteit-persoonsgegevens-treedt-niet-op-tegen-afvalpas-gemeente-arnhem/
http://www.binnenlandsbestuur.nl/digitaal/nieuws/juridische-strijd-om-arnhemse-afvalpas-krijgt.9563035.lynkx 

Update 3 mei 2017: inmiddels heeft de AP e.e.a. gepubliceerd, zie https://autoriteitpersoonsgegevens.nl/nl/nieuws/ap-gemeente-arnhem-past-afvalsysteem-aan . Klik HIER voor het volledige AP-besluit (pdf).

Zie ook https://www.security.nl/posting/513266/AP%3A+Arnhem+schendt+privacywetgeving+met+huidig+afvalsysteem
https://www.computable.nl/artikel/nieuws/overheid/6013869/250449/arnhemse-afvalpas-in-strijd-met-privacyregels.html 

Zeer lezenswaardig artikel over DIFTAR in De Gelderlander: http://www.gelderlander.nl/arnhem/arnhem-haalt-je-privacy-uit-de-vuilnisbak~aec9ffa1/

Reactie gemeente Arnhem: https://www.arnhem.nl/actueel/alle_nieuwsberichten:R-hsF1b7T5SC7K5T8o4zOA/Reactie_gemeente_Arnhem_na_uitspraak_Autoriteit_Persoonsgegevens_over_afvalpas

Treffend commentaar op DIFTAR: https://maartenswebblog.wordpress.com/2017/03/04/diftar-het-nieuwe-systeem-van-afvalinzameling-in-arnhem/

Wordt vervolgd...

Gepubliceerd in Wetgeving

Vandaag is een historische dag in positieve én in negatieve zin: enerzijds zette het Europees Parlement vandaag een belangrijke privacystap vooruit met de aanname van de Algemene Verordening Gegevensbescherming. Anderzijds stemde het Europees Parlement vandaag in met massale opslag van Europese passagiersdata. Iedere vliegtuigpassagier wordt hierdoor een potentiële verdachte.  

De Algemene Verordening Gegevensbescherming zal de nationale privacywetgeving in alle EU-lidstaten (waaronder de Nederlandse Wet bescherming persoonsgegevens) gaan vervangen en grosso modo voor betere privacybescherming in de hele Europese Unie gaan zorgen. Zo worden Privacy Impact Assessments en Privacy by Design verplicht; twee belangrijke zaken waar Privacy First al jaren voor pleit. Fundamentele privacybeginselen als noodzakelijkheid, proportionaliteit en subsidiariteit (verplichte inzet van privacyvriendelijke alternatieven) worden sterker verankerd en beter uitgewerkt. Het is dan ook verbazingwekkend dat het Europees Parlement vandaag tegelijkertijd ook een andere maatregel heeft aangenomen waardoor deze beginselen juist met voeten getreden worden: de Europese Richtlijn Passagiersgegevens ('Passenger Name Records', PNR) inzake alle vliegtuigpassagiers binnen en buiten de Europese Unie. Onder deze PNR-richtlijn zullen de gegevens van alle Europese vliegtuigpassagiers 5 jaar lang in centrale overheidsdatabanken worden bewaard voor opsporing en vervolging van zware misdrijven, terrorismebestrijding, inlichtingenwerk, etc. Talloze reisgegevens (waaronder naam- en adresgegevens, telefoonnummers, bestemmingen, creditcardgegevens en zelfs maaltijdgegevens) van vele miljoenen mensen zullen daardoor jarenlang beschikbaar blijven voor politie, justitie en inlichtingendiensten t.b.v. datamining en profiling. In 99,99% van de gevallen betreft dit echter volstrekt onschuldige burgers, waaronder vooral vakantiegangers en zakenreizigers. Dit vormt een flagrante schending van hun recht op privacy en vrijheid van beweging. Om deze reden bestond er de laatste jaren veel politieke weerstand tegen dit plan en werd het sinds 2010 reeds diverse malen verworpen door zowel de Nederlandse Tweede Kamer als het Europees Parlement. Vorig jaar bleken ook de Nederlandse regeringspartijen VVD en PvdA nog mordicus tegen. VVD en PvdA spraken destijds van een "vakantieregister" en dreigden zélf naar het Europese Hof van Justitie te stappen als de Europese PNR-richtlijn zou worden aangenomen. Na de recente aanslagen in Parijs en Brussel lijken veel politieke bezwaren echter als sneeuw voor de zon verdwenen. Dit terwijl de juridisch vereiste "maatschappelijke noodzaak" en proportionaliteit van massale PNR-opslag nog steeds niet zijn aangetoond. In de optiek van Privacy First is de huidige PNR-richtlijn daarmee bij voorbaat onrechtmatig. Privacy First oriënteert zich momenteel dan ook op juridische stappen om deze richtlijn alsnog van tafel te krijgen, hetzij via de nationale rechter, hetzij middels een rechtstreeks beroep bij het Europese Hof van Justitie in Luxemburg. Tevens zal Privacy First blijven pleiten voor een privacyvriendelijker PNR-systeem, waarbij alleen verdachte personen worden geregistreerd en gemonitord en het gros van de reizigers met rust zal worden gelaten.

Klik HIER voor een eerder interview met Privacy First over dit onderwerp bij BNR Nieuwsradio en HIER voor eerder commentaar van Privacy First op Radio 1 (vanaf 3m50s).

Update: klik HIER voor een korte reactie van Privacy First gisteravond in het RTL Journaal (vanaf 6m50s), later die avond herhaald door Radio 1 (vanaf 2m15s).

RTL Nieuws 14april2016

© RTL Nieuws

Gepubliceerd in Wetgeving

Column door Bas Filippini, 
voorzitter Privacy First  

Big Data: oplossing voor welk probleem?

Het nieuwste speeltje van de aan informatie en controle verslaafde overheid en bedrijfsleven heet Big Data. Legers ambtenaren (van politie en justitie) en managers in het bedrijfsleven volgen momenteel allen dezelfde door Silicon Valley-bedrijven gesponsorde workshops, seminars en daaraan gekoppelde opleidingen en boeken. De hypnotiserende boodschap luidt dat Big Data de toekomst is, niet meer weg te denken is als oplossing voor alle problemen en dat het onontkoombaar is en we er maar mee te leven hebben. Sterker nog, dat we onze maatschappij hieraan moeten aanpassen. Dus onze principes van de democratische rechtsstaat, onze verhoudingen burger-overheid en burger-bedrijfsleven volledig moeten gaan veranderen, om “mee” te kunnen in de “noodzakelijke” veranderingen.

Profiling naar real-time

Centraal in Big Data-oplossingen staat het opslaan van alle mogelijk te vergaren gegevens van burgers in centrale databases om vervolgens vanuit data-analyse snel de “outliers” (afwijkingen van het groepspatroon) eruit te kunnen filteren. Dit filteren van afwijkingen ten opzichte van “standaard” of “normaal” gedrag wordt profiling genoemd. Profiling wordt niet alleen achteraf statisch ingezet, maar steeds meer dynamisch (voorspellend gedrag op basis van ingestelde triggers) en real-time. Met andere woorden, voordat je het weet worden burgers en consumenten in deze nieuwbenoemde revolutie voortdurend geregistreerd, gemonitord, geselecteerd op (potentieel en toekomstig) afwijkend gedrag, 24 uur per dag, real-time door overheid en bedrijfsleven.

Internet of Things

Aanvullend hierop wordt het “Internet of Things” in stelling gebracht. Een infrastructuur van (RFID-)chips in alle mogelijke gebruiksvoorwerpen die 24 uur per dag, overal ter wereld met elkaar in contact staan en informatie over het voorwerp, de gebruikers, locaties etc. etc. doorgeven en een volledige controlestructuur moeten gaan bewerkstelligen. Wederom als grote verlosser van al onze problemen gepresenteerd, maar in werkelijkheid een potentieel massavernietigingswapen tegen onze persoonlijke vrijheid.

Nietsontziende marketing- en lobbymachine

In de discussie met ambtenaren en bedrijfsleven valt telkens op dat deze door industriële lobby gedreven ontwikkeling als een soort nieuwe religie geen tegenstanders duldt. Het opslaan van alle informatie van dieren, vervolgens de burger en consument en nu dus ook alle gebruiksvoorwerpen is cruciaal om Big Data goed te kunnen laten functioneren, is het pandoer.

Hierbij wordt eraan voorbijgegaan dat deze data en informatie niet van hen is maar van diezelfde burger en consument. Uitgangspunt is dat de burger het allemaal wel prima vindt en dat de wet en regelgeving anders maar veranderd dienen te worden voor het heilige hogere doel. Er wordt een ongekend felle en nietsontziende lobby in Brussel en in nationale staten gevoerd om dit soort “total control” systemen fashionable en trendy te maken zonder rekening te houden met de basisprincipes van onze rechtsstaat.

Bijvoorbeeld het rechtsprincipe dat van iemand die niet met rede verdacht wordt van een strafbaar feit geen informatie en Big Data hoeven te worden bijgehouden. En dat er een strikte doelbinding moet zijn, dat noodzakelijke dataverzameling proportioneel voor dat doel moet zijn en dat dataminimalisatie en privacyvriendelijke alternatieven voorrang hebben.

Big Data: big maatschappelijke discussie

Privacy First ziet in Big Data eenzelfde gevaar voor de mensheid als kernenergie en nucleaire technologie. Hier moet dus zeer zorgvuldig mee worden omgegaan. Gaan we er een massavernietigingswapen tegen onze vrijheid van maken en het fundament onder onze democratische rechtsstaat wegslaan? Of gaan we juist vanuit een infrastructuur gebaseerd op Privacy by Design een aantal nuttige toepassingen op geselecteerde bestanden gebruiken? Dit is de wezenlijke vraag waar in onze ogen per direct een brede maatschappelijke discussie over gevoerd zou moeten worden.

Goedbedoelende ambtenaren willen 100% zekerheid

In de discussie met politie, justitie en Belastingdienst valt telkens op dat de incidentgedreven politieke waan van de dag regeert. Ambtenaren zijn er heilig van overtuigd dat er geen zaken opgelost kunnen worden zonder alle mogelijke informatie van burgers op te slaan, iedere burger als potentiële verdachte op de koop toenemend. Er wordt dan vaak een incidenteel geval bijgehaald zoals de Deventer moordzaak en andere zaken die opgelost zouden zijn door middel van reeds opgeslagen informatie.

Dat wij als samenleving accepteren dat een aantal zaken niet opgelost worden of met iets meer inspanning, moeite en goed speurwerk opgelost worden als dat de vrijheid van diezelfde samenleving openhoudt, wordt vergeten. In een normale bedrijfsvoering worden de bedrijfsprocessen ook niet veranderd vanwege één of twee incidenten, maar wordt het incident opgelost hetzij geaccepteerd als collateral damage. In normaal Nederlands: waar gehakt wordt vallen spaanders.

Total Control als utopie wordt gepresenteerd als “cool” door overheid en bedrijfsleven

Wij hebben momenteel nog geen enkel rapport of bewijs gevonden dat bepaalde zaken niet opgelost of voorkomen kunnen worden zonder het opslaan van alle reis- en verblijfdata, communicatie en andere gegevens van alle burgers vooraf. Anders dan dat het wel lekker “gemakkelijk” is voor het opsporingsapparaat. Dat echter zelfs terroristen niet kunnen worden geprofiled met behulp van Big Data wordt keer op keer bevestigd door deskundigen.

Daarentegen is er juist een overvloed aan rapporten over massale datalekken, gehackte databases waardoor gevoelige data op straat komen te liggen, fouten en gebrek aan samenwerking bij politie, justitie en geheime diensten, misbruik en function creep van informatie bij overheidsdiensten, NSA-schandalen en bedrijven die op slinkse wijze informatie van klanten misbruiken. Voor welk probleem precies gaan wij als maatschappij nu eerst een oplossing vinden, het eerste of het tweede?

Ik wil als burger geen overheid die mij in een elektronische gevangenis zet zodat diezelfde overheid 100% van alle mogelijke zaken kan controleren, voorkomen en oplossen. Wij moeten als vrije samenleving leren leven met zaken die niet opgelost worden, zolang dit niet structurele incidenten zijn. Het wordt hoog tijd dat deze discussie over veiligheid en vrijheid van de samenleving wordt gevoerd. Betaal ik als burger de overheid vanuit mijn vrijheidsdenken of ben ik er voor het veiligheidsdenken van de overheid?

Veel ambtenaren zijn vanuit het laatste principe met alle goede bedoelingen bezig de beste en mooiste elektronische gevangenis te bouwen vanuit Big data, Internet of Things en profiling. Daarbij zijn zij zich vaak onbewust van de potentiële gevaren van deze ontwikkelingen.

Privacyvervuiling negatief bijproduct van de informatierevolutie

Waar het negatieve bijproduct van de industriële revolutie milieuvervuiling was, is vrijheids- en privacyvervuiling het onlosmakelijke negatieve bijproduct van de informatierevolutie. Het wordt hoog tijd dat dit issue ook in deze hoedanigheid wordt opgepakt door de overheid en het bedrijfsleven en dat we de principes van onze democratische rechtsstaat die in enkele duizenden jaren zijn ontwikkeld niet binnen enkele jaren verloochenen voor zogenaamde oplossingen voor niet-bestaande problemen. Privacy First wil geen elektronische gevangenis om de kerstbonus van enkele miljardairs in Silicon Valley veilig te stellen en ziet daarentegen juist vele kansen in privacy-duurzame oplossingen met informatietechnologie. Laat systeemontwerpers liever dáár hun kerstbonus mee verdienen!

Naar een veilig en vrij Privacy Gidsland

Privacy First wil van Nederland een veilig Privacy Gidsland maken en als positief voorbeeld en referentiekader laten dienen voor de rest van de wereld. Wij zullen onze eigen weg moeten gaan waar andere landen continu het zwart-wit denken promoten en het niet zo nauw nemen met de principes van een democratische rechtsstaat. Vanuit onze basisprincipes wordt dan vervolgens nagedacht over uitvoering en beleid, met respect voor de positie van de individuele burger en de menselijke maat. Dan pas kun je gaan nadenken over in te passen technologie.

Uitgangspunt hierin is het neerzetten van duurzame en innovatieve technologische infrastructuren die vele decennia meekunnen, opgesteld vanuit “privacy by design” en “privacy enhancing technogy”.

Privacy First gaat daartoe graag het gesprek aan met overheid en bedrijfsleven. Voorkomen is immers beter dan genezen en “beter ten halve gekeerd dan ten hele gedwaald”. Daarbij mag privacy best wat kosten, het is immers een universeel mensenrecht en de hoeksteen van onze maatschappij! Niet alles is een kille berekening in spreadsheets en efficiency ten koste van de burger. De overheid is er nog steeds voor de burger en niet andersom. Dat besef is echter niet altijd aanwezig, zo is ons opgevallen. De grenzen worden door de overheid voortdurend opgezocht in het ongelijke speelveld met de burger. Het wordt hoog tijd dat hier een principiële streep in het zand getrokken wordt.


Update Privacy First:
zie https://www.security.nl/posting/453005/Privacy+First:+big+data+is+bedreiging+voor+rechtsstaat.

Gepubliceerd in Columns
Pagina 2 van 8

Onze Partners

logo Voys Privacyfirst
logo greenhost
logo platfrm
logo AKBA
logo boekx
logo brandeis
 
banner ned 1024px1
logo demomedia
 
 
 
 
 
Pro Bono Connect logo 100
IIR banner

Volg ons via Twitter

twitter icon

Volg onze RSS-feed

rss icon

Volg ons op LinkedIn

linked in icon

Volg ons op Facebook

facebook icon