donatieknop english

Michiel Jonker: "Contante betaling waarborgt de privacy van bioscoopbezoekers."

De Arnhemse privacy-activist Michiel Jonker heeft bij de Rechtbank Gelderland beroep ingediend tegen de weigering van de Autoriteit Persoonsgegevens (AP) om handhavend op te treden tegen de weigering van arthouse-bioscoop Focus Filmtheater in Arnhem om contante betaling te accepteren. De bioscoop eist sinds de verhuizing naar een pand dat miljoenen heeft gekost, pinbetaling bij aankoop van filmkaartjes aan de kassa. Daarmee dwingt de bioscoop bezoekers tot het laten verwerken van hun persoonsgegevens.

Jonker is het daar niet mee eens en heeft om die reden in augustus 2018 een handhavingsverzoek bij de AP ingediend. De AP heeft dat verzoek in november 2019 afgewezen omdat volgens de AP niemand verplicht is om contant geld als wettig betaalmiddel te accepteren. Ook stelt de AP dat de bioscoop middels haar algemene voorwaarden een "contract" met de bioscoopbezoekers tot stand brengt, waaruit een noodzaak zou voortvloeien om persoonsgegevens van de bioscoopbezoekers te verwerken.

Volgens Jonker is er in geval van toonbankbetalingen in een aantal gevallen echter wel degelijk een plicht om contant geld te accepteren. Hij beroept zich daarbij op informatie van een expert van de Nederlandsche Bank. "Focus Filmtheater is een arthouse-bioscoop die films vertoont over gevoelige onderwerpen, en wordt nota bene voor een deel met gemeenschapsgeld gefinancierd," zegt Jonker. "Het gaat hier om de maatschappelijke participatie van mensen. Het moet niet mogelijk zijn dat achteraf door middel van profilering wordt achterhaald voor welke films iemand in de loop der tijd belangstelling heeft getoond. Als deze bioscoop privacyvriendelijke contante betaling mag weigeren, dan is dat het signaal dat iedereen afhankelijk mag worden gemaakt van niet-anonieme methoden om betalingen te doen - via pin of via internet. Dan moet je gaan nadenken wat andere mensen, autoriteiten of geautomatiseerde systemen voor conclusies kunnen trekken over jouw keuze om wel of niet bepaalde films te zien. Dat geeft aan deze zaak een grote lading."

In de documenten die Jonker in de bezwaarprocedure heeft opgevraagd, heeft hij ook aanwijzingen aangetroffen dat er onvoldoende waarborgen zijn met betrekking tot de persoonsgegevens die via de website van de bioscoop worden verzameld. "Als je een bioscoopkaartje koopt, kunnen je gegevens worden verwerkt door op zijn minst zeven bedrijven in vijf landen. Eén van die bedrijven is Google, en de kleine lettertjes in de algemene voorwaarden van Google geven dat bedrijf zeer veel vrijheid om de verzamelde gegevens met derden te delen in zo'n beetje alle landen ter wereld. Het is niet duidelijk of er tijdige en adequate anonimisering plaatsvindt. Zoals het er nu staat, is het een vrijbrief voor privacy-aantasting."

Voor de volledige tekst van Jonkers beroepschrift, klik HIER (pdf, 94 pp).

Privacy First steunt Jonker in deze zaak.

Media:
Security.nl, 7 januari 2020: Rechtszaak over Arnhemse bioscoop die contant geld weigert
Privacyweb, 7 januari 2020: Rechtszaak tegen weigering van contant geld door bioscoop
Sargasso.nl, 8 januari 2020: Rechtszaak tegen weigering contant geld door bioscoop
FOK Nieuws, 8 januari 2020: Rechtszaak tegen weigering van contant geld door bioscoop
AVROTROS Radar, 8 januari 2020: Niet contant kunnen betalen: inbreuk op je privacy? (inclusief opiniepoll)
Potkaars.nl, 8 januari 2020: Michiel Jonker - War on Cash in de Bioscoop (video-interview en podcast) 
Café Weltschmerz, 8 januari 2020: Profileren op basis van bioscoopbezoek – Rico Brouwer en Michiel Jonker (video-interview)
Emerce, 10 januari 2020: Rechtszaak tegen weigering van contant geld door bioscoop
De Gelderlander, 16 januari 2020: Privacystrijder blijft vechten voor betalen met contant geld bij filmhuis in Arnhem
FOK Nieuws, 17 januari 2020: Q&A met privacy-activist Michiel Jonker.
Tweakers, 6 februari 2020: Interview met Michiel Jonker - privacyactivist uit idealisme en irritatie.

Gepubliceerd in Financiële privacy & PSD2

Privacy First nodigt u graag uit voor haar Nieuwjaarsborrel! Deze zal plaatsvinden op woensdagavond 8 januari as. in het Volkshotel in Amsterdam. De avond zal grotendeels in het teken staan van het thema Blockchain en financiële privacy. Welke actuele ontwikkelingen vinden er op dit vlak plaats? Hoe verhouden die ontwikkelingen zich tot het recht op privacy? Hoe kan blockchain zo worden ontworpen en gereguleerd dat publieke waarden als privacy, transparantie en vertrouwen erdoor worden versterkt? En welke rol zou Privacy First hierbij kunnen spelen? Na de Nieuwjaarsspeech door Privacy First voorzitter Bas Filippini zullen juridisch expert Jurgen Goossens (Universiteit Tilburg), financieel expert Simon Lelieveldt en Martijn van der Veen (Privacy First) hun licht over deze kwesties laten schijnen. Hierna is er ruimte voor discussie onderling en met het publiek, gevolgd door een borrel waar wij samen kunnen proosten op een privacyvriendelijk 2020!

Iedereen is welkom, toegang is gratis. Donaties aan Privacy First worden echter zeer op prijs gesteld. Aanmelden kan via Dit e-mailadres wordt beveiligd tegen spambots. JavaScript dient ingeschakeld te zijn om het te bekijken., maar is niet verplicht.

Datum: woensdag 8 januari 2020, 19.30-22.00u (inloop vanaf 19.00u).
Locatie: Volkshotel, Wibautstraat 150 te Amsterdam (Doka cocktailbar). Een routebeschrijving vindt u op https://www.volkshotel.nl/nl/directions/.

Klik HIER voor de uitnodiging zoals Privacy First die onlangs aan haar netwerk verzond (pdf). Wilt u voortaan directe uitnodigingen voor onze evenementen ontvangen? Mail ons! Dan voegen wij u toe aan onze mailinglist.

uitnodiging PrivacyFirst 8jan2020

Gepubliceerd in Financiële privacy & PSD2

Rechtbank behandelt beroep van OV-reiziger inzake vier structurele privacy-inbreuken. Autoriteit Persoonsgegevens weigert deze inbreuken te onderzoeken of te handhaven.

Op 16 december 2019 zal de Rechtbank Gelderland in twee direct op elkaar volgende rechtszittingen de beroepen van Michiel Jonker behandelen tegen de afwijzing van twee handhavingsverzoeken door de Autoriteit Persoonsgegevens (AP). In juli 2018 verzocht Jonker in twee handhavingsverzoeken de AP om onderzoek en handhaving inzake:

  1. De weigering door vervoerbedrijf Connexxion van privacyvriendelijke, contante betaling voor eenmalige buskaartjes in de bus.
  2. Het weigeren van de terugbetaling van resterend saldo op anonieme OV-chipkaarten als de houder zijn NAW-gegevens niet aan Nederlandse Spoorwegen (NS) verstrekt.
  3. Het weigeren van internationale treintickets door NS-medewerkers aan stationsbalies als kopers hun NAW-gegevens niet aan NS verstrekken.
  4. Het in rekening brengen, sinds 2 juli 2018, van extra “servicekosten” als houders van anonieme OV-chipkaarten contant betalen voor het opwaarderen van het saldo op deze kaarten.

De AP weigerde deze inbreuken op de privacy serieus te onderzoeken, omdat volgens de AP een "globaal (bureau)onderzoek" reeds zou hebben uitgewezen dat er geen sprake was van enige overtreding. Volgens de AP is de verwerking van persoonsgegevens in sommige gevallen niet aangetoond en zou daar dus geen sprake van zijn (2, 3, 4). Met betrekking tot de verkoop van internationale tickets van buitenlandse vervoerbedrijven door NS verklaarde de AP zichzelf eerst ten onrechte onbevoegd, maar beweert nu, nadat Jonker daartegen bezwaar maakte, dat Jonker op dit punt niet om handhaving zou hebben verzocht. Met betrekking tot de weigering van contante betaling in de bus (1) vindt de AP dat de inbreuk op de privacy acceptabel is. Ook wekt de AP, in navolging van Connexxion, de schijn dat er allerlei andere privacyvriendelijke betaalmogelijkheden voorhanden zijn, terwijl er in Jonkers woonplaats Arnhem slechts één plek is waar dat kan, maar dan wel tegen betaling van een extra toeslag. Jonker vindt dat er op die manier sprake is van privacy-discriminatie: het nadelig behandelen van mensen die met privacy willen blijven reizen.

Jonker: "Het gaat in deze zaken om drie dingen. Ten eerste dat mensen met behoud van privacy van het openbaar vervoer gebruik kunnen maken, niet alleen in een vergezochte theorie, maar ook gewoon in de dagelijkse praktijk. Het gaat er dan om dat er voldoende verkooppunten zijn waar je contant kunt betalen voor alle soorten vervoerbewijzen, en zonder dat je een extra toeslag hoeft te betalen ten opzichte van reizigers die er noodgedwongen in berusten dat hun persoonsgegevens zonder hun instemming worden verwerkt. En dat vervoerbedrijven ook geen reizigers misleiden, of stiekem hun gegevens verzamelen.

Ten tweede gaat het erom dat vervoerbedrijven niet met willekeur persoonsgegevens mogen verzamelen, als ze maar met wat algemene kreten zwaaien, bijvoorbeeld "veiligheid" of "fraudepreventie", zonder duidelijk te maken om welk specifiek, concreet probleem het nu eigenlijk gaat.

Ten derde gaat het erom dat de AP als toezichthouder en handhaver niet zomaar mag weigeren om iets te onderzoeken. Nu trekt de AP uit haar eigen weigering om het te onderzoeken, de conclusie dat er dus niks aan de hand is. Dat is alsof een politie-agent na de melding van een inbraak weigert het betreffende huis binnen te stappen, maar in plaats daarvan zegt: ik ga daar niet naar binnen, dus ik zie geen inbraak, dus er is geen inbraak, dus ik hoef daar niet naar binnen te gaan. Daar is een heel simpel woord voor: wegkijken. Veel Nederlandse toezichthouders, waaronder de AP, hebben nogal de neiging weg te kijken en op die manier aan struisvogelpolitiek te doen. Maar we betalen die toezichthouders wel van ons belastinggeld. Dat doen we niet om ze te laten wegkijken."

Gevraagd of hij bijvoorbeeld "veiligheid" dan geen serieus thema vindt, antwoordt Jonker: "Natuurlijk vind ik dat een serieus thema. Juist daarom verdient het een serieuze behandeling. Maar dat is iets heel anders dan het thema veiligheid misbruiken om precies te gaan bijhouden welke routes miljoenen onschuldige reizigers op welke momenten afleggen. Ik ben voor een serieuze analyse van concrete veiligheidsproblemen, gevolgd door maatwerk om die specifieke problemen ook echt tegen te gaan. Connexxion heeft niet aannemelijk gemaakt dat contante betaling de veiligheid op zelfs maar één buslijn in de regio serieus in gevaar zou brengen. Ik woon al meer dan twintig jaar in Arnhem. Ik ging met lijn 3 naar de dierentuin, op een mooie, zonnige ochtend. Nooit geweten dat dat onveilig was... Het moet proportioneel blijven. Maar proportionaliteit kan heel subjectief worden opgevat. Dan mag je als vervoerbedrijf alles van reizigers eisen. Dat is op dit moment de basishouding van de AP. Als vervoerbedrijven iets willen, vindt de AP het dus nodig, en wil daarom niet handhaven of serieus onderzoeken."

Gevraagd naar zijn verwachtingen over de rechtszaken, antwoordt Jonker: "Sinds de uitspraken van de Rechtbank Gelderland in twee andere beroepsprocedures, op 5 september van dit jaar, ben ik zeer sceptisch over de kwaliteit van de rechtspraak van deze instantie. Tegen die uitspraken ben ik in hoger beroep gegaan bij de Raad van State. Ik heb de rechtbank verzocht om met de behandeling van deze nieuwe zaken te wachten tot de Raad van State uitspraak heeft gedaan, om een zinloze herhaling van zetten te voorkomen. Ook zijn er inmiddels prejudiciële vragen gesteld aan het Hof van Justitie van de Europese Unie over reisgegevens van OV-gebruikers. Dat wil ik ook graag afwachten, om alle partijen tijd en geld te besparen. Maar de rechtbank heeft dat verzoek helaas meteen afgewezen."

De rechtszittingen vinden plaats op 16 december 2019 om 10:30 uur in de Rechtbank Gelderland, Walburgstraat 2-4 te Arnhem. Klik HIER voor het beroepschrift van Jonker in de zaak over de weigering van contante betaling in de bus door vervoerbedrijf Connexxion (pdf).

Jonker wordt in beide zaken gesteund door Stichting Privacy First en Maatschappij Voor Beter OV.

Update 17 december 2019: de twee rechtszaken werden op 16 december jl. behandeld door een meervoudige kamer van de rechtbank. Een vertegenwoordiger van Privacy First was als toehoorder aanwezig. Jonker had een enkele pleitnota voor beide zittingen gemaakt, maar de rechter stond hem niet toe die voor te lezen. Desgevraagd verwees de voorzittende rechter naar het "te ruste leggen" van de zogeheten "Nieuwe zaaksbehandeling" per 13 februari 2018, en gaf aan dat de rechtbank inmiddels werkt aan de hand van de zogeheten "professionele standaard", waarin niet meer is voorzien in de mogelijkheid voor partijen om een schriftelijk voorbereid pleidooi te houden. Jonker: "Natuurlijk moest ik daar ter zitting in berusten, immers de rechter bepaalt wat er ter zitting mag worden ingebracht. Maar het is een teken aan de wand hoe het er met onze rechtspraak voorstaat. Mijns inziens is het weigeren van pleidooien in strijd met artikel 6 van het EVRM (recht op een eerlijk proces), omdat in zo'n pleidooi de omstandigheden van het concrete geval en de ethische implicaties daarvan rechtstreeks kunnen worden verduidelijkt en bespreekbaar gemaakt. Achteraf heb ik op internet proberen na te gaan wat daarover te vinden is. In een publicatie van het Ministerie van Binnenlandse Zaken uit 2015 ("De praktijk van de Nieuwe zaaksbehandeling in het bestuursrecht") bleek dat sommige rechters mijn mening op dit punt delen." Voor de pleitnota van Jonker, klik HIER (pdf).

Tijdens beide zittingen werd eerst Jonkers verzoek behandeld om de zaken aan te houden in afwachting van uitspraken van het Hof van Justitie van de EU (HvJ EU) en de Afdeling bestuursrechtspraak van de Raad van State (ABRvS) over met name de eisen die moeten worden gesteld aan het aantonen van een noodzaak voor de verwerking van persoonsgegevens in het openbaar vervoer. De AP, NS en Connexxion zagen geen aanleiding om de zaken aan te houden. De rechtbank gaat het overwegen en zal partijen t.z.t. op de hoogte stellen van zijn standpunt.

In de eerste zitting kwam naast de vraag of er een noodzaak voor de privacy-inbreuken is aangetoond, ook de vraag aan de orde naar de precieze omvang van de verantwoordelijkheid van verwerkingsverantwoordelijken zoals NS. Is NS verantwoordelijk voor het gedrag van haar eigen baliemedewerkers, als die zonder noodzaak NAW-gegevens opeisen bij de aankoop van internationale treintickets? Jonker betoogde van wel, en op dit punt leek de AP het met hem eens te zijn. Daarnaast betoogde Jonker dat de verantwoordelijkheid voor gegevensverwerking niet mag worden zoekgemaakt tussen (binnenlandse of buitenlandse) "verwerkingsverantwoordelijken" en "verwerkers".

Voor het eerst deed NS zelf een uitspraak over het doel waarmee NS legitimatie eist wanneer iemand het restsaldo op een anonieme OV-chipkaart terugvraagt. Volgens NS is dat om een "drempelverhogend effect" te creëren om personen af te schrikken die een gestolen anonieme OV-chipkaart proberen in te leveren. Jonker wees erop dat, als dit klopt, er sprake is van een illegale handeling van NS, omdat het eisen van legitimatie om mensen af te schrikken, niet rechtmatig is en NS daartoe ook niet bevoegd is. Ook wees Jonker erop dat in geval van het teruggeven van saldo van meer dan dertig euro, er in opdracht van NS wel degelijk persoonsgegevens worden verwerkt, namelijk door Translink Systems (TLS).

Met betrekking tot het in rekening brengen van zogeheten "servicekosten" bij het contant betalen voor het opladen van anonieme OV-chipkaarten met bankbiljetten aan de balie, zonder dat er gelijkwaardige, privacyvriendelijke alternatieven zijn, werden er geen nieuwe argumenten ingebracht.

In de tweede rechtszitting ging het onder andere over de vraag of de noodzakelijkheid voor het verwerken van persoonsgegevens ten behoeve van de uitvoering van een contract (art. 6 lid 1 onder b AVG) afgeleid kan worden uit willekeurige, algemeen geformuleerde doelen die een verwerkingsverantwoordelijke (Connexxion) heeft vastgesteld, of dat er ook sprake moet zijn van een objectiveerbare, materiële noodzaak. Jonker betoogde dat uit de aangeleverde documentatie geen noodzaak viel af te leiden voor het weigeren van contant geld in de regio Arnhem-Nijmegen. Connexxion betoogde dat het niet nodig was om zo'n noodzaak voor deze regio aan te tonen, en zelfs niet eens om een "risicoprofiel per regio of per buslijn" op te stellen. Ook zag Connexxion voor zichzelf geen plicht of verantwoordelijkheid om te zorgen voor alternatieve, toegankelijke manieren voor privacyvriendelijk betalen. Dit omdat de verkooppunten volgens Connexxion niet door haarzelf worden bepaald, maar door de Stadsregio Arnhem-Nijmegen. Jonker betoogde dat een verwerkingsverantwoordelijke bij het treffen van maatregelen die een inbreuk vormen op de privacy, zelf verantwoordelijk blijft voor het zorgen voor een alternatief (subsidiariteitsbeginsel).

Ten slotte wees Connexxion erop dat Jonker niet verplicht is om het OV te gebruiken. Jonker reageerde dat het OV geen "winkel met prullaria" is, maar een essentiële publieke nutsfunctie waarvan hij en talloze andere mensen afhankelijk zijn om maatschappelijk te kunnen participeren.

Voorafgaand aan de zitting had Connexxion schriftelijk verzocht om Jonker te veroordelen tot het vergoeden van haar proceskosten vanwege "kennelijk onredelijk gebruik van het procesrecht". Na een vraag hierover van één van de rechters trok Connexxion dat verzoek aan het eind van de zitting in.

Gevraagd naar zijn indruk over de zittingen, zei Jonker: "Als je kijkt naar de letter van de wet en de bedoeling van de wetgever, sta ik sterk. Maar ik weet inmiddels uit ervaring dat dat niet alles zegt over de uitkomst van rechtszaken. Het zal er mede van afhangen of de rechters bereid zijn om niet alleen te kijken naar theoretische, algemene, niet-onderbouwde verhalen van NS en Connexxion, maar ook naar hoe het in de feitelijke praktijk functioneert, en naar de manier waarop de verschillende inbreuken op de privacy elkaar versterken. Cumulatief ontstaan er daardoor grote effecten waardoor er van de privacy weinig overblijft."

Update 6 februari 2020: de rechtbank Gelderland heeft op 4 februari jl. uitspraak gedaan in beide zaken, en deze op 5 februari gepubliceerd. De rechtbank verklaarde beide beroepen ongegrond, waarbij de rechtbank de argumentaties van de AP volgde.

Jonker: "Wat ik al vermoedde, is opnieuw gebeurd: de rechtbank heeft de argumentatie van de AP overgenomen en herhaalt die nog eens, maar gaat niet in op argumenten die ik daartegenin heb gebracht. Daar zwijgt de rechtbank over, of hij verwerpt ze zonder inhoudelijk te onderbouwen waarom.

Gevraagd naar een voorbeeld, antwoordt Jonker: "Als het bijvoorbeeld gaat om de weigering van contante betaling in de bus, dan verwijst de rechtbank, net als de AP, naar een door een conglomeraat van overheden en vervoerbedrijven gezamenlijk opgesteld "Actieprogramma Sociale Veiligheid in het OV", maar negeert wat ik over de inhoud van dat plan heb gezegd. Ik heb aangevoerd dat uit dat de tekst van dat plan geen noodzaak blijkt voor de weigering van contante betaling in de bus. De rechtbank stelt: er is een plan, daarin wordt een doel genoemd, en dus is de verwerking van persoonsgegevens nodig. Dat is geen rechtspraak, maar het napraten van een bestuursorgaan. De rechtbank stelt zich op deze manier niet op als een onafhankelijke uitlegger van de wet, maar als een verlengstuk van een conglomeraat van polder-organisaties, en als advocaat van de bestuurlijke consensus die binnen dat conglomeraat is gevormd. Die consensus is kennelijk dat reële privacy, zoals die tot 2014 in het OV bestond, mag en moet worden afgeschaft. Als de bestuursrechtspraak zo functioneert, kun je de scheiding der machten net zo goed opheffen. En dan kan ik beter mijn wetskennis aan de wilgen hangen en me omscholen door middel van een cursus 'Hoe kom ik in het gevlei bij machthebbers'. We zien hier dat de afbraak van de rechtsstaat zich in het hoofd van de rechters al voltrokken heeft, zonder dat zij dat zelf willen beseffen."

Gevraagd naar zijn volgende stappen, geeft Jonker aan in hoger beroep te zullen gaan bij de Raad van State. "Ik had verzocht om beide zaken aan te houden in afwachting van een uitspraak van de Raad van State in de zaak over privacy in het OV waarover de rechtbank op 5 september vorig jaar uitspraak deed, omdat die op enkele cruciale punten overlapt met de huidige zaak. De rechtbank heeft dat verzoek afgewezen omdat de zaken niet op alle punten met elkaar overeenkomen. Maar dat was ook niet mijn betoog. Het gaat immers om verschillende zaken. Ik had betoogd dat de uitkomst van de huidige zaken voorspelbaar is als de Raad van State mijn hoger beroep ongegrond zou verklaren, en dat het dus zin had om af te wachten of dat gebeurt. Maar nu ben ik dus genoodzaakt om voorafgaand daaraan weer twee separate procedures bij de Raad van State aan te spannen, en daarvoor griffierechten te betalen. Op deze manier werpt de rechtbank voor de burger een zo groot mogelijke hindernis op om tot zijn recht te komen. Deze mentaliteit is een zorgwekkende ontwikkeling met het oog op het behoud van de rechtsstaat. Het enige wat ik nu kan doen, is hopen dat de Afdeling bestuursrechtspraak van de Raad van State anders met de materie omgaat, en dat ondertussen de publieke opinie in toenemende mate wakker wordt over wat hier aan het gebeuren is. Niet alleen met onze privacy, maar ook met onze rechtsstaat."

Zie voor de volledige uitspraken van de rechtbank op rechtspraak.nl ECLI:NL:RBGEL:2020:619 en ECLI:NL:RBGEL:2020:622.

Media:
Omroep Gelderland, 5 februari 2020: Arnhemse privacystrijder krijgt van rechter ongelijk over anoniem reizen
De Gelderlander, 5 februari 2020: Arnhemse privacyvechter Jonker vangt bot in zaak over anoniem reizen met het ov
Security.nl, 5 februari 2020: Arnhemmer verliest zaken over privacy in het openbaar vervoer
Tweakers, 6 februari 2020: Interview met Michiel Jonker - privacyactivist uit idealisme en irritatie.

Gepubliceerd in Mobiliteit
woensdag, 11 september 2019 13:04

Website psd2meniet.nl is live!

Website is live!

Na een ontwerp- en bouwtraject van twee maanden is onze website www.psd2meniet.nl live. De website is ontwikkeld door Marc Smits. Onze projectpagina biedt informatie over PSD2 en over ontwikkelingen rondom het PSD2-me-niet register. We breiden de website voortdurend uit. Hierover kunt u via onze PSD2-nieuwsbrieven op de hoogte blijven.

Duidelijke informatie over risico's

De kern van het project is direct duidelijk verwoord: 'welke betalingen houdt u liever geheim?' De website wijst bezoekers op de privacyrisico's van PSD2. De site is zo opgezet dat het zowel individuen als professionals aanspreekt. Beseffen politieke partijen, vakbonden en patiëntenorganisaties dat zij een belangrijke verantwoordelijkheid richting hun achterban hebben?

Informatie in dossiers

Op de website staan in een aantal blokken dossiers. Over bijzondere persoonsgegevens, over ons project en het PSD2-me-niet register. Gedurende het project zal steeds informatie worden toegevoegd en bijgewerkt en voegen we dossiers toe. Heeft u een vraag of zoekt u specifieke informatie? Laat het ons dan weten!

Neem direct een kijkje op de site!

Opvallend logo

Zoals u ziet heeft ons PSD2-project een eigen, opvallend beeldmerk. Een QR-code in een zakelijke en frisse kleurstelling. We kozen voor een QRcode om duidelijk te maken dat achter de term PSD2 veel schuilgaat. Ook geeft de QR-code eigentijdse mogelijkheden. Wie nu de QR-code scant komt bij het inschrijfformulier voor nieuwsbrieven. Tijdens een presentatie kan het publiek zich bijvoorbeeld direct inschrijven voor onze nieuwsbrief. Op later moment kan deze link eenvoudig aangepast worden.

We hopen dat de website u bevalt, en dat het de informatie biedt die mensen (en organisaties) motiveert om PSD2 een stuk privacyvriendelijker te maken!

Gepubliceerd in PSD2

Busreiziger Michiel Jonker heeft een rechtszaak aangespannen tegen de Autoriteit Persoonsgegevens (AP), vanwege de weigering van de AP om handhavend op te treden tegen vervoerbedrijf Breng/Connexxion. Connexxion weigert, net als veel andere Nederlandse vervoerbedrijven, sinds medio 2018 om in de bus betaling van kaartjes met contant geld te accepteren. Volgens Jonker is dit een schending van zijn privacy, omdat dit hem als busreiziger verplicht tot pinbetaling, waarbij zijn persoonsgegevens worden verwerkt. Jonker diende hierover in juli 2018 een handhavingsverzoek in bij de AP.

De AP weigerde vervolgens te handhaven. Volgens de Autoriteit is er sprake van een "overeenkomst" (contract) tussen Connexxion en Jonker, omdat Connexxion de weigering van contante betaling in de algemene voorwaarden heeft opgenomen. Volgens de AP leveren de door het vervoerbedrijf opgestelde algemene voorwaarden een wettelijke grondslag op voor het verwerken van persoonsgegevens (artikel 6 lid 1 onder b AVG). Tevens stelt de AP dat het doel van "sociale veiligheid" in het OV de verwerking van persoonsgegevens rechtvaardigt.

Jonker bestrijdt dit. Volgens hem is er geen sprake van een vrijwillig aangegaan contract, gezien zijn afhankelijkheid van het openbaar vervoer en het monopolie van Connexxion op de betreffende buslijnen. Ook stelt Jonker dat een vaag en algemeen geformuleerd doel zoals "sociale veiligheid" een generieke aantasting van de privacy op alle Nederlandse buslijnen niet rechtvaardigt. Volgens Jonker moet er gekeken worden naar de werkelijke veiligheidsproblematiek in specifieke regio's en op specifieke buslijnen.

Jonker: "Zoals het nu toegaat, kan een willekeurige groep bedrijven, al dan niet in samenwerking met bijvoorbeeld een ministerie of de leiding van de politie, eenzijdig zo'n beetje elke aantasting van privacy doordrijven, zonder serieus te onderbouwen waarom dat nodig zou zijn. En de AP vindt dat prima, want die is er kennelijk niet voor de burgers, maar voor degenen die de rechten van burgers onder de voet willen lopen. In mijn handhavingsverzoek en in mijn bezwaarschrift heb ik de zaak zorgvuldig beargumenteerd, maar de AP negeert het overgrote deel van mijn argumenten. Helaas kom je dan weer bij de rechter terecht."

Eerder heeft Jonker al verschillende rechtszaken op het gebied van privacy gewonnen, inzake de Arnhemse adresgebonden afvalpas, en inzake de OV-chipkaart van NS. Jonker: "Er lopen nu in totaal zes zaken van mij bij de AP, die telkens weigert zijn wettelijke handhavingstaak uit te voeren. Hoewel ik over juridische achtergrondkennis en een aantal andere vaardigheden beschik, valt dit voor een normaal mens uiteindelijk niet vol te houden. Met haar weigerachtigheid maakt de AP van privacy in de praktijk een lachertje. De vraag is nu wat de rechter vindt. Als die het ook wel best zou vinden, is het voorlopig einde verhaal voor de privacy, dan kunnen we die illusie overboord gooien. De AVG zou in dat geval weinig voorstellen. Maar of dat zo is, ga ik eerst wel grondig uitzoeken door het aan de Nederlandse rechter voor te leggen, maar desnoods ook aan de Europese rechter."

Jonker wordt in deze zaak gesteund door Stichting Privacy First en Maatschappij Voor Beter OV.

Gepubliceerd in Mobiliteit

Het Ministerie van Financiën staat op het punt om bedrijven te verplichten op grote schaal persoonlijke data te exporteren. De maatregel zit verstopt in een bijzinnetje van een Kamerbrief van de Minister van Financiën, maar heeft grote gevolgen. De maatregel verplicht bedrijven om bij 'virtual assets' (digitaal te verhandelen waren zoals bitcoins, vastgoed maar ook aankopen in computerspelletjes), klantgegevens mee te sturen. De informatie van alle betrokken partijen blijft zichtbaar voor iedereen in de waardeketen.

Consumenten, bedrijven en burgers kunnen geen bezwaar maken tegen het verplicht toevoegen van hun persoonsgegevens. Politieke aandacht krijgt dit onderwerp niet omdat het wordt gepresenteerd als technische maatregel. In de Kamerbrief van 21 maart 2019 laat de Minister na om te wijzen op de grote reikwijdte en impact. Wel wordt gesuggereerd dat door een consultatieronde aan de reacties van de markt gehoor zal worden gegeven.

Privacy First en VBNL (Verenigde Bitcoinbedrijven Nederland) hebben inmiddels begrepen dat de wereldwijde bezwaren tegen de maatregel worden genegeerd. Daarom stuurden wij vandaag een brandbrief aan de Minister van Financiën. Wij vragen hem het vraagstuk beter te bestuderen, met alle relevante Ministeries en vooral ook: om het parlement beter te informeren. Daarbij wijzen we op de strijdigheid die de maatregel kan hebben met andere internationale afspraken en verdragen die de persoonlijke levenssfeer beschermen.

Waar bekend is dat de consument zeer terughoudend is met het zélf ter beschikking stellen van de eigen gegevens, moet de overheid dat ook zijn. Privacy First vindt het uitermate kwalijk dat het Ministerie van Financiën van plan lijkt te zijn op een achternamiddag met één pennestreek namens alle Nederlandse consumenten en bedrijven tot in lengte van dagen toestemming te geven voor ongebreidelde export van persoonsdata in het economisch verkeer.

De argumentatie dat sprake zou zijn van een noodzakelijke maatregel voor terrorismebestrijding is ongegrond. Deskundigen bij Europol (!) geven aan dat genoemd internationaal voorstel ‘overkill’ is en niet nodig voor de opsporing. De regel voegt niets toe aan het bestaande Europese raamwerk ter bestrijding van witwassen en terrorismefinanciering en verhoogt slechts het risico van ongewenste datalekken.

Privacy First en VBNL hopen dat door de brandbrief het parlement beseft dat sprake is van een maatregel die zelfs verder gaat dan PSD2. Bij PSD2 kan de consument namelijk zélf besluiten om data te delen. Bij dit voorstel zou dat recht tot in lengte van dagen voor allerlei economische handelingen worden ontnomen. Wij roepen daarom de parlementariërs op om de consument en het bedrijfsleven te beschermen tegen deze onnodige voorgenomen maatregel.

Onze gehele brief is HIER te lezen (pdf).


Dit bericht is tevens gepubliceerd op https://bitcoin.nl/nieuws/minister-hoekstra-voorkom-ongebreidelde-export-van-eu-persoonsgegevens-379.

Gepubliceerd in Financiële privacy & PSD2

PSD2-me-niet-register

Is innovatie met betaalgegevens mogelijk met behoud van privacy? PSD2 is de nieuwe Europese bankenwet waardoor betaalgegevens ook met niet-bancaire partijen gedeeld kunnen worden. De wetgever heeft echter verzuimd om privacy by design door te voeren. Stichting Privacy First neemt daarom het initiatief voor een PSD2-me-niet-register. Dit is een opt-out register waarmee rekeningnummers gefilterd kunnen worden. De use-cases zijn rekeningnummers van “bijzondere persoonsgegevens” zoals een betaling aan een vakbond, zorgverlener, politieke partij of organisatie die seksuele voorkeur onthult. En consumenten die hun tegenrekening gefilterd willen hebben. Het PSD2-me-niet-register kan richtinggevend worden op Europees niveau.

Bron: https://www.sidnfonds.nl/nieuws/de-eerste-pioniers-van-2019, 22 mei 2019.

Volg https://psd2meniet.nl voor updates en wordt alvast lid van ons PSD2 Privacy Panel!

Privacy First is voor al haar projecten en bijbehorende werkzaamheden grotendeels afhankelijk van donaties. Hoe meer financiële steun en donaties, hoe eerder Privacy First het PSD2-me-niet-register zal kunnen realiseren!

Gepubliceerd in PSD2

Vanmiddag vindt in de Tweede Kamer een belangrijk debat plaats over de invoering van Passenger Name Records (PNR): massale, jarenlange opslag van allerlei gegevens van vliegtuigpassagiers ter veronderstelde bestrijding van misdaad en terrorisme. Privacy First heeft hier grote bezwaren tegen en stuurde eind vorige week onderstaande brief naar de Tweede Kamer. Het Kamerdebat vanmiddag stond eerder geagendeerd op 14 mei 2018, maar werd toen (na een vergelijkbare brief van Privacy First) tot nader order geannuleerd. Na een nieuwe schriftelijke vragenronde vindt het debat nu alsnog plaats. Hieronder volgt de volledige tekst van onze actuele brief:


Geachte Kamerleden,

Maandagmiddag 11 maart as. debatteert u met minister Grapperhaus (Justitie en Veiligheid) over de Nederlandse implementatie van de Europese richtlijn inzake Passenger Name Records (PNR). Zowel de Europese PNR-richtlijn als de beoogde Nederlandse implementatiewet zijn in de optiek van Privacy First juridisch onhoudbaar. Hieronder zetten wij dit kort voor u uiteen.

Vakantieregister

In het PNR-wetsvoorstel van de minister zullen talloze gegevens van alle vliegtuigpassagiers met vertrek of aankomst in Nederland 5 jaar lang in een centrale overheidsdatabank bij de nieuwe Passenger Information Unit worden bewaard en gebruikt ter voorkoming, opsporing, onderzoek en vervolging van misdrijven en terrorisme. Gevoelige persoonsgegevens (waaronder naam- en adresgegevens, telefoonnummers, emailadressen, geboortedata, reisdata, ID-documentnummers, bestemmingen, medepassagiers en betaalgegevens) van vele miljoenen passagiers zullen daardoor jarenlang beschikbaar zijn t.b.v. datamining en profiling. In wezen wordt iedere vliegtuigpassagier hierdoor behandeld als potentiële crimineel of terrorist. In 99,99% van de gevallen betreft het echter volstrekt onschuldige burgers, voornamelijk vakantiegangers en zakenreizigers. Dit vormt een flagrante schending van hun recht op privacy en vrijheid van beweging. Vorig jaar heeft Privacy First dit reeds betoogd in de Volkskrant en bij BNR Nieuwsradio. Wegens privacybezwaren bestond er de laatste jaren veel politieke weerstand tegen dergelijke massale PNR-opslag en werd dit sinds 2010 diverse malen verworpen door zowel de Nederlandse Tweede Kamer als het Europees Parlement. In 2015 waren ook de Nederlandse regeringspartijen VVD en PvdA nog mordicus tegen. VVD en PvdA spraken destijds van een "vakantieregister" en dreigden zélf naar het Europees Hof van Justitie te stappen als de Europese PNR-richtlijn zou worden aangenomen. Na de aanslagen in Parijs en Brussel leken veel politieke bezwaren echter als sneeuw voor de zon verdwenen en werd de PNR-richtlijn in 2016 alsnog een feit. Tot op heden is de juridisch vereiste maatschappelijke noodzaak en proportionaliteit van deze richtlijn echter nog steeds niet aangetoond.

Europees Hof

In de zomer van 2017 deed het Europees Hof van Justitie een belangrijke uitspraak over het vergelijkbare PNR-verdrag tussen de EU en Canada. Het Hof verklaarde dit verdrag ongeldig wegens strijd met het recht op privacy. Het Hof stelde hierbij onder meer dat “gegevens van een luchtreiziger na diens vertrek slechts mogen worden bewaard indien op grond van objectieve criteria kan worden aangenomen dat deze luchtreiziger een risico kan vormen in het kader van de strijd tegen terrorisme en ernstige grensoverschrijdende criminaliteit.” (Zie Advies 1/15 (26 juli 2017), par. 207.) Door deze uitspraak staat sindsdien de Europese PNR-richtlijn juridisch op losse schroeven. De Nederlandse regering heeft daarom terechte “zorgen over de toekomstbestendigheid van de PNR-richtlijn” (zie Nota naar aanleiding van verslag, p. 23). Privacy First verwacht dat de huidige PNR-richtlijn binnenkort ter toetsing aan het Europees Hof van Justitie zal worden voorgelegd en onrechtmatig zal worden verklaard. Daarna zal dezelfde situatie ontstaan als enkele jaren geleden bij de Europese telecom-bewaarplicht: zodra deze Europese richtlijn ongeldig is verklaard, zal de Nederlandse implementatiewetgeving in kort geding buiten werking worden gesteld.

Massa surveillance

Het huidige Nederlandse PNR-wetsvoorstel lijkt bij voorbaat onrechtmatig wegens gebrek aan aantoonbare noodzaak, proportionaliteit en subsidiariteit. Het wetsvoorstel komt neer op massa-surveillance van grotendeels onschuldige burgers; reeds in de Tele2-zaak (2016) verklaarde het Europees Hof dit type wetgeving illegaal. Bij de VN Mensenrechtenraad deed Nederland vervolgens de algemene toezegging “to ensure that the collection and maintenance of data for criminal [investigation] purposes does not entail massive surveillance of innocent persons.” Nederland lijkt die belofte nu te verbreken. Bij iedere passagier worden immers talloze volstrekt overbodige data opgeslagen die jarenlang door allerlei Nederlandse, Europese en zelfs niet-Europese overheidsinstanties kunnen worden gebruikt. Bovendien is de effectiviteit van PNR tot op heden nooit aangetoond, aldus ook de minister zelf: “statistische onderbouwing is niet voorhanden” (zie Nota naar aanleiding van verslag, p. 8). Het risico op onterechte verdenkingen en discriminatie (door feilbare algoritmes bij profiling) is bij het voorgestelde PNR-systeem levensgroot, wat tevens de kans op vertragingen en gemiste vluchten bij onschuldige passagiers verhoogt. Tegelijkertijd zullen gezochte personen vaak onder de radar blijven en alternatieve reisroutes kiezen. Verder wordt in het wetsvoorstel met geen woord gerept over de rol en mogelijkheden van geheime diensten, terwijl die onder de nieuwe Wet op de inlichtingen- en veiligheidsdiensten directe, afgeschermde toegang tot de centrale PNR-databank zullen krijgen. Meest kwalijke aspect aan het Nederlandse PNR-wetsvoorstel is echter dat dit twee stappen verder gaat dan de PNR-richtlijn zelf: Nederland kiest er immers zélf voor om ook de data van passagiers op alle intra-EU vluchten op te slaan. Onder de PNR-richtlijn is dit niet verplicht, en had Nederland dit bovendien kunnen beperken tot louter vooraf geselecteerde (risico)vluchten. Dit zou in lijn geweest zijn met het advies van de meeste experts op dit terrein: targeted i.p.v. mass surveillance, zo gericht mogelijk, oftewel louter gericht op die personen waarop een redelijke verdenking rust, conform de principes van onze democratische rechtsstaat.

Advies Privacy First

Privacy First adviseert u hierbij met klem om het huidige wetsvoorstel te verwerpen en dit desgewenst te vervangen door een privacyvriendelijke versie. Mocht dit ertoe leiden dat Nederland door de Europese Commissie voor het EU Hof van Justitie zal worden gedaagd wegens gebrek aan implementatie van de huidige Europese PNR-richtlijn, dan verwacht Privacy First dat Nederland deze zaak glansrijk zal winnen. Van EU-lidstaten mag immers niet worden verwacht dat zij privacyschendende EU-regels implementeren. Dit geldt eveneens voor de nationale implementatie van relevante resoluties van de VN Veiligheidsraad (in casu UNSC Res. 2396 (2017)) die op gespannen voet staan met internationale mensenrechten. Privacy First heeft in dit verband reeds gewaarschuwd voor misbruik van het Nederlandse (ook voor PNR gebruikte) TRIP-systeem door andere VN-lidstaten. Nederland heeft hierin een eigen grondwettelijke en internationaalrechtelijke verantwoordelijkheid.

Voor nadere informatie of vragen met betrekking tot bovenstaande is Privacy First te allen tijde bereikbaar op telefoonnummer 020-8100279 of per email: Dit e-mailadres wordt beveiligd tegen spambots. JavaScript dient ingeschakeld te zijn om het te bekijken..

Hoogachtend,

Stichting Privacy First


Update 19 maart 2019: vandaag heeft de Tweede Kamer het wetsvoorstel helaas vrijwel ongewijzigd aangenomen; slechts GroenLinks, SP, PvdD en Denk stemden tegen. Een principiële motie van GroenLinks en SP om een rechtszaak van de Europese Commissie tegen de Nederlandse regering over de Europese PNR-richtlijn uit te lokken werd helaas verworpen. Enig lichtpuntje is de breed aangenomen motie ter juridische herbeoordeling en mogelijke herziening van de PNR-richtlijn op Europees politiek niveau. (Slechts PVV en FvD stemden tegen deze motie.) Volgende halte: Eerste Kamer.

Update 4 juni 2019: ondanks recente herhaling van bovenstaande brief en overige kritische input van Privacy First heeft de Eerste Kamer het wetsvoorstel vandaag helaas aangenomen. Slechts GroenLinks, Partij voor de Dieren en SP stemden tegen. Dit ook ondanks de onlangs in Duitsland (bij het vergelijkbare Duitse PNR-systeem) gebleken enorme foutenpercentages (“false positives”) van maar liefst 99,7%, zie https://www.sueddeutsche.de/digital/fluggastdaten-bka-falschtreffer-1.4419760. In Duitsland en Oostenrijk zijn inmiddels grootschalige rechtszaken gestart om de Europese PNR-richtlijn door het Europees Hof van Justitie onrechtmatig te laten verklaren wegens strijd met het recht op privacy, zie de Duits-Engelse campagnewebsite https://nopnr.eu en https://www.nrc.nl/nieuws/2019/05/15/burgers-in-verzet-tegen-opslaan-passagiersgegevens-a3960431. Zodra het Europees Hof de PNR-richtlijn in deze zaken onrechtmatig verklaart, zal Privacy First de Nederlandse PNR-wet in kort geding buiten werking laten stellen. Tevens heeft Privacy First gisteren Nederlandse PNR-wet geagendeerd bij het VN Mensenrechtencomité in Genève. Op 1-2 juli as. zal de algehele Nederlandse mensenrechtensituatie (inclusief Nederlandse schendingen van het recht op privacy) door dit Comité kritisch onder de loep genomen worden.

Gepubliceerd in Wetgeving
donderdag, 21 februari 2019 11:17

Privacy First lanceert PSD2 Privacy Panel

PSD2 in Nederland van kracht

Sinds deze week is PSD2 in Nederland van kracht: de nieuwe Europese bankenwet die onder meer mogelijk maakt dat bankgegevens ook door andere partijen verwerkt mogen worden. Dit brengt grote privacy-risico's met zich mee. Op 7 januari jl. was Privacy First daarom tafelgast bij het televisieprogramma Radar en zagen bijna 1,3 miljoen kijkers dat Privacy First een serieuze speler is in het debat over PSD2 en privacy. Hoeveel informatie zit verstopt in tien jaar rekeninginformatie denkt u? Inkomsten, uitgaven, lidmaatschappen, donaties, locaties? En welk profiel maakt een kredietbeoordelaar als die kijkt naar roodstand, relaties en onlineaankopen? Bij hoeveel partijen komen al die gegevens straks te liggen?

Uitdrukkelijke toestemming vraagt té veel van consument

De dataoverdracht van bank naar een andere financiële dienstverlener (fintech) mag alleen gebeuren met uw uitdrukkelijke toestemming en binnen de kaders van de wet, maar het is niet voor niets dat Privacy First aan dit dossier werkt!

Samen met de Volksbank, Betaalvereniging Nederland en andere partijen zetten we ons al een tijd in voor betere informatie en transparantie. De stem van bedrijven wordt gehoord, die van consumenten en kritische privacydenkers nauwelijks. Uit onderzoek van De Nederlandse Bank (DNB) blijkt dat 94 procent van de consumenten nog niet van PSD2 heeft gehoord en over het algemeen terughoudend is om een derde partij toegang tot zijn of haar rekening te geven. En dat terwijl de eerste licentieaanvragen van rekeninginformatie-dienstaanbieders al bij DNB liggen...

Neem deel aan ons PSD2 Privacy Panel 

Privacy First zet zich in voor eigen keuzes in een vrije omgeving. Daarom nodigen we u uit om deel te nemen aan ons nieuwe PSD2 Privacy Panel. We willen panelleden de komende tijd informeren en vragen om mee te denken over privacy-risico's. Doet u mee? Als u zich inschrijft kunt u een waardevolle bijdrage leveren aan diverse onderwerpen op het gebied van PSD2 en privacy. Bovendien: uw medewerking versterkt de boodschap van Privacy First!

U kunt zich via deze link opgeven voor het PSD2 Privacy Panel. U ontvangt een welkomstmail en hierna enkele informatieve mails over PSD2 en privacy-risico's. Vervolgens vragen we uw mening in een aantal enquêtes. Later dit jaar organiseren we een bijeenkomst over dit uiterst relevante thema.

We willen uw mening, niet uw privacy.

We hechten veel waarde aan uw privacy. Daarom hebben we een aantal maatregelen getroffen zodat u zo anoniem mogelijk kunt deelnemen. Bij voorkeur schrijft u zich in met een e-mailadres zonder herleidbare naam, organisatie of bedrijf erin. De mailings worden uitgevoerd met LaPosta, een Nederlands bedrijf dat al jaren serieus werk maakt van privacy en informatiebeveiliging. We hebben de omgeving zo ingesteld dat we uw gedrag niet kunnen volgen. En natuurlijk kunt u zich ieder moment uitschrijven.

Doet u mee?

Privacy First zet zich in voor de bescherming van privacy. Rondom PSD2 kunnen nog belangrijke verbeteringen gemaakt worden. U kunt op een eenvoudige manier bijdragen. Bovendien wordt u geïnformeerd over deze belangrijke wet, waarmee betalingsverkeer ingrijpend kan veranderen. Word daarom lid van het PSD2 Privacy Panel.

Alvast bedankt!

Gepubliceerd in PSD2

Nieuwe Europese wetgeving PSD2 in werking 

Vanaf begin 2019 wordt in Nederland PSD2 van kracht (Payment Service Directive 2). Met deze nieuwe Europese bankenwet kunnen consumenten hun bankgegevens delen met andere partijen dan hun eigen bank. Hiervoor moet de consument eerst uitdrukkelijke toestemming geven. Hierna moet de bank alle transactiedata[1] van de consument (rekeninghouder) met een externe partij (financiële dienstverlener) delen voor een periode van 90 dagen, waarna de consument zijn toestemming kan vernieuwen. Tevens kan de consument zijn toestemming op ieder moment intrekken.

PSD2 baart Privacy First grote zorgen

Privacy First heeft grote zorgen rond PSD2. De wet is teveel gericht op het verbeteren van mededinging en innovatie en het privacybelang van de rekeninghouders is uit het oog verloren. De grootste bezwaren van Privacy First zijn:

  • Consumenten kunnen de hoeveelheid bankgegevens niet beperken. Zelfs als een financiële dienstverlener deze gegevens niet nodig heeft, wordt na het geven van toestemming toch alle data gedeeld.
  • In de bankgegevens van een consument staan ook de gegevens van andermans tegenrekening. Deze persoon weet niet dat zijn gegevens gedeeld worden en kan dit ook niet verhinderen. Doordat de transactiedata via Big Data en data-analyses veel breder geanalyseerd zullen worden dan voor de inwerkingtreding van PSD2 ontstaan grote risico's op privacyschendingen.
  • Bankgegevens bevatten “bijzondere persoonsgegevens” die alleen onder strikte voorwaarden verwerkt mogen worden.[2] Een contributiebetaling aan een vakbond, politieke partij of organisatie die seksuele voorkeur onthult, moet volgens Privacy First gezien worden als bijzonder (gevoelig) persoonsgegeven. Ook transacties met zorgverleners en apotheken moeten als bijzondere persoonsgegevens worden gezien. Op dit moment bestaat geen mogelijkheid deze gegevens te filteren en worden ze verstrekt aan partijen die deze gegevens niet mogen verwerken.

Tijdens de uitzending van AVROTROS Radar van maandagavond 7 januari 2019 vroeg Privacy First nadrukkelijk aandacht voor deze zaken.

PSD2-keurmerk voor transparantie

Privacy First wil dat consumenten eerlijk en transparant geïnformeerd worden over wat er met hun gegevens gebeurt. In plaats van lange privacy-statements pleit Privacy First voor onafhankelijke informatie op één A4, waarbij door consumenten vastgestelde informatie wordt geboden. Consumenten kunnen immers zelf het beste bepalen welke informatie zij waardevol vinden bij het maken van een keuze. Gedurende 2018 werkte Privacy First aan dit initiatief samen met de Volksbank en andere partners uit de financiële sector.

PSD2-me-niet-register

Privacy First is verbaasd dat er geen aandacht is geweest voor de rol van “bijzondere persoonsgegevens” in transactiedata. Deze gegevens mogen alleen onder strikte voorwaarden gedeeld worden en moeten dus gefilterd kunnen worden. Ook consumenten die niet willen dat hun gegevens door anderen worden gedeeld met financiële dienstverleners moeten de mogelijkheid krijgen dit te voorkomen. Daarom wil Privacy First een opt-out register voor PSD2, vergelijkbaar met het bel-me-niet-register. Tijdens de uitzending van Radar kondigde Privacy First aan het initiatief voor dit voorstel te nemen, waarbij wij ernaar streven dit met de financiële sector en politiek verder te ontwikkelen. Het doel daarbij is dat het gebruik van een opt-out register verplicht wordt gesteld. De Europese PSD2-richtlijn zal hiervoor aangepast moeten worden.

[1] Aanvullende informatie: het gaat om alle transactiedata. Hoe ver deze gegevens terug gaan verschilt per bank. Zie het overzicht van de Consumentenbond: Meerderheid bewaart rekeningafschriften ten minste 5 jaar https://www.consumentenbond.nl/betaalrekening/meerderheid-bewaart-rekeningafschriften-ten-minste-5-jaar.

[2] Aanvullende informatie: dit is opgenomen in artikel 9 AVG en art. 22 UAVG. Kortgezegd is de verwerking van bijzondere persoonsgegevens verboden, tenzij. Zie https://wetten.overheid.nl/BWBR0040940/2018-05-25.

Gepubliceerd in PSD2
Pagina 1 van 8

Onze Partners

logo Voys Privacyfirst
logo greenhost
logo platfrm
logo AKBA
logo boekx
logo brandeis
 
banner ned 1024px1
logo demomedia
 
 
 
 
 
Pro Bono Connect logo 100
Control Privacy
IIR banner

Volg ons via Twitter

twitter icon

Volg onze RSS-feed

rss icon

Volg ons op LinkedIn

linked in icon

Volg ons op Facebook

facebook icon