donatieknop english

Deze week vond in de Tweede Kamer (Vaste commissie voor Infrastructuur en Waterstaat) een interessant 'rondetafelgesprek' plaats over de toegang tot data in het openbaar vervoer. Naarmate de hoeveelheid data (waaronder persoonsgegevens) in het openbaar vervoer toeneemt, is er sprake van een toenemende druk om deze data met diverse partijen te delen en voor allerlei doelen te gaan gebruiken. Dit staat op gespannen voet met het recht op privacy van de individuele reiziger. Privacy First maakt zich al jaren sterk voor het recht op privacy en anonimiteit in het openbare domein, waaronder het openbaar vervoer. Wij reageerden daarom direct positief op de uitnodiging van de Tweede Kamer om aan dit rondetafelgesprek deel te nemen. Aan alle deelnemers werd verzocht om vooraf hun voornaamste standpunten kenbaar te maken middels korte position papers (maximaal twee A4). Klik HIER voor de position paper van Privacy First (pdf) en HIER voor de position papers van de overige genodigden, waaronder CBS, Translink en reizigersvereniging Rover. De belangrijkste standpunten van Privacy First luiden als volgt:

1. Iedere reiziger heeft recht op anonimiteit in het openbaar vervoer.
2. Alleen geanonimiseerde, geaggregeerde data mogen - onder strikte waarborgen - gedeeld worden.
3. Geen massa-surveillance in het openbaar vervoer.
4. Transparantie bij privacy-inbreuken.
5. Privacy-waarborgen bij reizigersonderzoek.
6. Aantoonbaar gebruik van privacy by design.

Privacy First maakte van de gelegenheid gebruik door voor het rondetafelgesprek een OV-ervaringsdeskundige bij uitstek af te vaardigen: privacy-activist Michiel Jonker voerde namens ons het woord. Enig gevoel van urgentie ten aanzien van privacy bleek bij de aanwezige Kamerleden en overige genodigden echter grotendeels afwezig, aldus Jonker in zijn eerste reactie na afloop. Zijn algehele kritische impressie van het rondetafelgesprek zal Privacy First spoedig op deze pagina publiceren. Hieronder kunt u alvast de video van de volledige sessie terugkijken en uw eigen conclusies trekken:

Gepubliceerd in Mobiliteit

Erik Akerboom wil de politie uitrusten met Taserwapens, bodycams en een veel repressiever beleid gaan inzetten. Reden is een actie tegen een agent bij een trouwstoet. Daarnaast wordt ook de drugsoorlog in Amsterdam en Brabant genoemd als reden om harder op te treden door de politie. Hiervoor moet een soort elite-eenheid worden opgezet conform Amerikaans voorbeeld.

Onlangs rapporteerde het WODC kritisch over de gezondheidsrisico's van Taserwapens. Zelfs de Verenigde Naties hebben Nederland dringend verzocht om dergelijke wapens niet grootschalig in te voeren. In breder verband staat Privacy First al jaren op het standpunt dat een repressieve politie, ondersteund door martelwapens, geen enkele oplossing is voor het door henzelf gecreëerde probleem, namelijk de invoering van de landelijke politie waarbij lokale eenheden zijn verdwenen. Een landelijke Politie zou een goed idee kunnen zijn maar dan wel vanuit een preventieve en een handhavings gedachte. Dit kan door decentralisatie van generieke taken (dus de normale straat- en buurttaken) en een centralisatie van specialistische taken. Elke franchiseketen in het bedrijfsleven is hiervan een goed voorbeeld. In plaats daarvan is het blauw op straat verdwenen, is er een enorme chaos binnen de organisatie en is het contact met de burger uit het oog verloren en de afstand tot die burger in rap tempo vergroot.

Het is alsof McDonald's alle vestigingen sluit en de klant verwijst naar de centrale keuken en het internet voor haar eten. Vervolgens komen de klanten niet en worden ze bestraft met boetes om meer hamburgers te eten. Zo is het ook met de Nationale Politie. In plaats van alle generieke taken dichtbij de burger te houden en meer franchise-achtige wijkbureaus te openen zodat (toekomstige) misdadigers direct in het vizier staan en preventief aangepakt kunnen worden, hebben jonge criminelen vrij spel. De pakkans is verkleind, aangifte doen heeft weinig zin ("doe maar via internet") en de burger komt de agent alleen tegen via anonieme boetesystemen en als gemakkelijk slachtoffer voor kleine vergrijpen waarbij de boetes niet in verhouding staan tot het vergrijp. De Nationale Politie zou eens in de leer moeten gaan in Duitsland, waar nog steeds 70% van de aangiftes wordt opgelost en er direct contact is met de wijkagent. Ouderwets wellicht, maar effectief.

Op centraal niveau is het al niet veel beter en kunnen grote zaken in de drugsscene niet meer opgelost worden, worden cijfers bewerkt via politieke zelfcensuur en de burger niet vertrouwd. Logisch natuurlijk, want onbekend maakt onbemind. Via incidentgedreven politieke waan-van-de-dag-beleid komen dan nu repressieve technologie en middelen als DE oplossing naar voren.

Terwijl we weten dat preventie de basis is en de inzet van dergelijke middelen veelal een glijdende schaal betekent, zie de VS waarin de politie reeds als een soort legereenheid optreedt. Maar burgers die protesteren tegen Sinterklaas-verstoringen of Windmolenparken worden als gemakkelijk slachtoffer met veel bombarie en squatteams opgepakt middels wetgeving die bedoeld was voor terroristen en zware criminelen.

Het laatste voorstel om cashbetalingen (vanuit de cash = crimineel campagne) van meer dan EUR 3.000,- per transactie te verbieden is wederom een voorbeeld van deze function creep en verdere inperking van onze burgerrechten vanwege slecht beleid en gebrekkige handhaving. De politie organisatie is steeds meer met zichzelf bezig, is steeds verder verwijderd van de burger en omgekeerd zal het vertrouwen van de burger in diezelfde politie verder dalen.

Ik wens de Nationale Politie veel sterkte met de verkeerde oplossing voor het verkeerde probleem en hoop dat er toch nog iemand rondloopt die eens in de leer gaat bij onze oosterburen en McDonald's. Hoe moeilijk kan eenvoudig zijn? Wij zullen als Privacy First blijven strijden tegen repressieve technologieën die onze samenleving en vrijheid ondermijnen en staan open voor een gesprek en uitwisseling van goede ideeën.

Voor een vrije en veilige samenleving!

Bas Filippini,
voorzitter Privacy First

Tevens gepubliceerd door Brabants Dagblad, 10 september 2019.

Gepubliceerd in Columns

Begin 2020 worden door Stichting Privacy First de jaarlijkse Nederlandse Privacy Awards uitgereikt.

Er zijn 4 categorieën waarvoor inschrijvingen genomineerd kunnen worden:

  1. categorie Consumentenoplossingen (van bedrijven voor consumenten)

  2. categorie Bedrijfsoplossingen (binnen een bedrijf of business-to-business)

  3. categorie Overheidsdiensten (van de overheid voor burgers)

  4. Aanmoedigingsprijs voor een baanbrekende technologie of persoon.


Voorwaarden voor deelname

Voorwaarde voor deelname is dat u reeds met uw privacy-innovatie aan de slag bent. U bent de ideefase voorbij en kunt al iets van het project in uitvoering laten zien. U zorgt met uw project voor inspiratie bij andere organisaties waardoor privacy niet wordt gezien als een belemmering, maar als een kans!

De eerste selectie bestaat uit een screening waarop met de volgende zaken wordt omgegaan:

a) Het hebben van een privacy verantwoordelijke (FG, PO) in de organisatie

b) Toepassen van een privacy policy

c) Toepassen van risico analyse(s)

d) Privacy awareness in de organisatie

e) Een inzichtelijk privacybeleid en communicatie hiervan.

Vervolgens worden de deelnemers die genomineerd worden, gescreend op zaken als:

f) Innovatief vermogen: het product, proces of dienst biedt een noviteit op privacygebied en heeft zich in de markt nog niet technisch en/of commercieel bewezen;

g) Maatschappelijke impact: de innovatie levert een bijdrage aan privacy en komt de bescherming van persoonsgegevens en het individu ten goede;

h) Focus: het product, proces of dienst levert in grote mate toegevoegde waarde aan de markt/consument;

i) Zelfredzaamheid: het product, proces of dienst is binnen een reële termijn (ca 3 jaar) economisch realiseerbaar. Er is een businessmodel.

Daarnaast bestaat de mogelijkheid dat de jury (vertrouwelijk) een aangekondigd bedrijfsbezoek aan de genomineerde zal brengen.


Bepalen van de genomineerden

Organisaties kunnen zich t/m 1 oktober 2019 aanmelden voor de Awards door een email met korte toelichting over het betreffende Privacy Project en antwoord op bovengenoemde punten a) t/m i) te sturen naar Privacy First via Dit e-mailadres wordt beveiligd tegen spambots. JavaScript dient ingeschakeld te zijn om het te bekijken.Medio november 2019 hoort u of u tot de genomineerden behoort. Indien u genomineerd wordt ontvangt u van Privacy First een uitnodiging om een korte pitch tijdens de Awards-uitreiking voor te bereiden.


Voorschriften pitch

● Maximaal 3 minuten

● U gebruikt een Powerpoint presentatie (maximaal 3 sheets)

● De presentatie bevat in ieder geval de volgende onderdelen:

   o Organisatienaam

   o Privacy project omschrijving

   o Doel en behaalde resultaten.


Jury

De jury bestaat uit onafhankelijke privacy-experts uit diverse sectoren:

> Bas Filippini, oprichter en voorzitter Privacy First
> Paul Korremans, data protection & security professional, Comfort Information Architects 
   (tevens bestuurslid Privacy First)
> Marie-José Bonthuis, eigenaar IT’s Privacy
> Esther Janssen, advocaat Informatierecht en grondrechten, bureau Brandeis 
> Marc van Lieshout, managing director iHub, Radboud Universiteit Nijmegen
> Melanie Rieback, CEO en co-founder Radically Open Security
> Nico Mookhoek, privacy jurist en eigenaar NMLA
> Wilmar Hendriks, founder Control Privacy (tevens lid Raad van Advies Privacy First).

Om te garanderen dat de verkiezing van de Awards objectief verloopt, is het niet toegestaan dat de jury een deelname beoordeelt van de eigen organisatie.


Privacy First organiseert de Nederlandse Privacy Awards met steun van Stichting Democratie & Media, in samenwerking met ECP. Klik HIER voor een impressie van de Nederlandse Privacy Awards 2019. Wilt u graag partner of sponsor van de Nederlandse Privacy Awards worden? Of zou u graag (vrijwillig) jurylid willen worden? Neem dan contact op met Privacy First!

FG7A4979m

Gepubliceerd in Nederlandse Privacy Awards

Op veel plaatsen in het publieke domein wordt WiFi aangeboden. Hoewel het vaak wordt gepresenteerd als service om gratis gebruik te kunnen maken van het internet, betaalt een consument alsnog: met zijn of haar data. Privacy First staat voor het recht op privacy in de zin van anonimiteit in de openbare ruimte. Daaronder valt ook het recht op anoniem winkelen. WiFi-tracking zonder de klant te informeren en zonder vooraf om diens toestemming te vragen vormt een flagrante schending van dit recht.

Sinds 2013 heeft Privacy First dit standpunt meerdere malen gecommuniceerd, bijvoorbeeld op Radio 1 en bij BNR Nieuwsradio.

In juni 2016 gaf de Autoriteit Persoonsgegevens in een brief aan gemeenten en detailhandel aan dat het gebruik van WiFi-tracking aan strenge eisen is onderworpen. Begin mei 2019 gaf de gemeente Tilburg aan te stoppen met openbare WiFi in de binnenstad en de spoorzone. "Omdat de gemeente niet voldoende controle en invloed heeft op hoe de leverancier van het WiFi-netwerk met een deel van deze gegevens (in de 'cloud') omgaat, is besloten om de openbare WiFi voor de binnenstad en spoorzone per direct te beëindigen", aldus de gemeente. Bron: https://www.tilburg.nl/actueel/nieuws/item/geen-openbare-wifi-meer-in-binnenstad-en-spoorzone/.

Privacy First juicht deze stap toe en roept andere gemeenten op dit voorbeeld te volgen. Daarnaast roept Privacy First bedrijven op het gebruik van WiFi-tracking te staken omdat het een inbreuk is op de privacy van mensen. Zeker als WiFi-tracking gebruikt wordt voor het volgen van mensen door een winkel met als doel om consumentengedrag te volgen. Vaak is een oplossing te bedenken waarbij privacy by design wordt toegepast. Privacy First verwijst naar de gemeente Nijmegen die met anonieme passantentellingen genomineerd werd voor de Nederlandse Privacy Awards 2019. Privacy First ziet vergelijkbare projecten van andere gemeenten ter bescherming van de privacy in het openbare domein graag tegemoet.

Gepubliceerd in Online Privacy

Het Ministerie van Financiën staat op het punt om bedrijven te verplichten op grote schaal persoonlijke data te exporteren. De maatregel zit verstopt in een bijzinnetje van een Kamerbrief van de Minister van Financiën, maar heeft grote gevolgen. De maatregel verplicht bedrijven om bij 'virtual assets' (digitaal te verhandelen waren zoals bitcoins, vastgoed maar ook aankopen in computerspelletjes), klantgegevens mee te sturen. De informatie van alle betrokken partijen blijft zichtbaar voor iedereen in de waardeketen.

Consumenten, bedrijven en burgers kunnen geen bezwaar maken tegen het verplicht toevoegen van hun persoonsgegevens. Politieke aandacht krijgt dit onderwerp niet omdat het wordt gepresenteerd als technische maatregel. In de Kamerbrief van 21 maart 2019 laat de Minister na om te wijzen op de grote reikwijdte en impact. Wel wordt gesuggereerd dat door een consultatieronde aan de reacties van de markt gehoor zal worden gegeven.

Privacy First en VBNL (Verenigde Bitcoinbedrijven Nederland) hebben inmiddels begrepen dat de wereldwijde bezwaren tegen de maatregel worden genegeerd. Daarom stuurden wij vandaag een brandbrief aan de Minister van Financiën. Wij vragen hem het vraagstuk beter te bestuderen, met alle relevante Ministeries en vooral ook: om het parlement beter te informeren. Daarbij wijzen we op de strijdigheid die de maatregel kan hebben met andere internationale afspraken en verdragen die de persoonlijke levenssfeer beschermen.

Waar bekend is dat de consument zeer terughoudend is met het zélf ter beschikking stellen van de eigen gegevens, moet de overheid dat ook zijn. Privacy First vindt het uitermate kwalijk dat het Ministerie van Financiën van plan lijkt te zijn op een achternamiddag met één pennestreek namens alle Nederlandse consumenten en bedrijven tot in lengte van dagen toestemming te geven voor ongebreidelde export van persoonsdata in het economisch verkeer.

De argumentatie dat sprake zou zijn van een noodzakelijke maatregel voor terrorismebestrijding is ongegrond. Deskundigen bij Europol (!) geven aan dat genoemd internationaal voorstel ‘overkill’ is en niet nodig voor de opsporing. De regel voegt niets toe aan het bestaande Europese raamwerk ter bestrijding van witwassen en terrorismefinanciering en verhoogt slechts het risico van ongewenste datalekken.

Privacy First en VBNL hopen dat door de brandbrief het parlement beseft dat sprake is van een maatregel die zelfs verder gaat dan PSD2. Bij PSD2 kan de consument namelijk zélf besluiten om data te delen. Bij dit voorstel zou dat recht tot in lengte van dagen voor allerlei economische handelingen worden ontnomen. Wij roepen daarom de parlementariërs op om de consument en het bedrijfsleven te beschermen tegen deze onnodige voorgenomen maatregel.

Onze gehele brief is HIER te lezen (pdf).


Dit bericht is tevens gepubliceerd op https://bitcoin.nl/nieuws/minister-hoekstra-voorkom-ongebreidelde-export-van-eu-persoonsgegevens-379.

Gepubliceerd in Financiële privacy & PSD2

"Bij uitkeringsinstantie UWV zijn illegaal zo’n 117.000 cv’s gedownload. Dat gebeurde tussen 16 en 30 april vanuit de website werk.nl, meldt minister Wouter Koolmees (Sociale Zaken en Werkgelegenheid). De gedetailleerde informatie is mogelijk in criminele handen gekomen.

De curricula vitae zijn met een account van één werkgever gedownload. Op 30 april werd dit ontdekt en is het account geblokkeerd. De werkgever heeft verklaard niets van de actie te weten. Zijn account is vermoedelijk misbruikt, aldus de minister.

Het Nationaal Cyber Security Centrum (NCSC) is op de hoogte gesteld, net als de Autoriteit Persoonsgegevens. Ook is aangifte bij de politie gedaan. De betrokkenen zijn door het UWV op de hoogte gesteld. Zij hebben het advies gekregen alert te zijn op mogelijke spam en phishingberichten.

Gedetailleerde informatie

Een cv kan van grote waarde zijn voor criminelen, omdat er veel gedetailleerde informatie in te vinden is. Hiermee kan iemand doelwit worden van internetcriminaliteit. Het UWV onderzoekt de mogelijke gevolgen en bekijkt of er verdere herstel- of beveiligingsmaatregelen nodig zijn. De systemen worden extra in de gaten gehouden.
(...)

Schandalig

Vincent Böhre van de Stichting Privacy First noemt het ‘schandalig’ dat er zoveel cv’s illegaal zijn gedownload. ,,Het gaat immers om zeer persoonlijke informatie’, zegt Böhre. ,,Dit is een massaal lek dat doet vermoeden dat het UWV zijn beveiliging niet op orde heeft. Als dat inderdaad het geval is, zou de Autoriteit Persoonsgegevens het UWV een boete kunnen geven.’'

Böhre zegt dat de persoonlijke gegevens op cv’s misbruikt kunnen worden voor het plegen van identiteitsfraude, zeker als daarbij pasfoto’s en burgerservicenummers staan."

Bron: https://www.ad.nl/binnenland/circa-117-000-gelekte-cv-s-van-uwv-mogelijk-in-handen-criminelen~aec97d70/, 3 mei 2019 (via ANP). Tevens gepubliceerd bij o.a. Parool , Dagblad van het Noorden, BN/DeStem, Reformatorisch Dagblad, AVROTROS Opgelicht en AG Connect.

Gepubliceerd in Privacy First in de media
vrijdag, 03 mei 2019 09:40

Vaccinatie en zelfbeschikkingsrecht

Commentaar door Privacy First voorzitter Bas Filippini 

Momenteel speelt wereldwijd een media-campagne inzake vaccineren, ingezet in mei 2017. Zoals vaker op het gebied van privacy viert hierin de incidentgedreven (politieke) waan van de dag hoogtij. Het incident wordt telkens uitvergroot en aangevuld met doemscenario’s en onjuiste interpretaties van cijfers, nu weer leidend tot een oproep voor verplichte vaccinaties.

Ik heb hier al eerder een genuanceerd stuk over geschreven. Zelf ben ik voorstander van vaccineren en sta ik achter het principe van vaccinaties. Waar ik in deze discussie echter zeer veel moeite mee heb is de wijze waarop het debat (niet) gevoerd wordt. Feit is immers dat er binnen de bevolking zorgen en vragen bestaan inzake het Rijksvaccinatieprogramma, de verstrengeling met de vaccinatie-industrie en mogelijk negatieve gevolgen op korte en langere termijn.

Onder het recht op privacy valt ook het recht op lichamelijke integriteit en fysieke zelfbeschikking. Vanuit Privacy First staan wij daarbij voor eigen keuzes in een vrije omgeving. Ik zie beide principes in de vaccinatie-discussie onder vuur liggen. Laten we in de eerste plaats nu eens een open en kritische discussie voeren over de zorgen en vragen van kritische of bezorgde burgers. Het is immers altijd goed als oud beleid ter discussie wordt gesteld en mogelijk wordt bijgesteld. De “waarom”-vraag moet altijd gesteld kunnen worden, ook door een minderheid die er anders over denkt. De overheid zal in dit geval met argumenten en onafhankelijk bewijs en cijfers moeten komen. Niet met dwang en nieuwe wetgeving.

Het is dus interessant om te weten wat de zogenaamde “anti-vaxxers” aan vragen en zorgen hebben. Wat daarbij opvalt is dat een groot deel achter het principe van vaccineren staat maar zijn/haar vraagtekens heeft bij een aantal zaken, welke niet veel anders zijn dan bij andere onderwerpen in het medisch-ethische werkveld. Het gaat om de volgende vragen:

Inhoud van vaccins en combinaties van vaccins:

  • Wat is precies de inhoud van een specifiek vaccin of inenting?
  • Welke stoffen en conserveringsmiddelen worden toegevoegd?
  • Wat is de exacte lijst met ingrediënten alsmede de productiedetails?

Veiligheid & bijwerkingen:

  • Hoe veilig zijn vaccins en combinaties van vaccins?
  • Wat zijn de risico’s op het immuunsysteem en ziektes nu en op latere leeftijd?
  • Waarom is er geen openheid over risico’s en bijwerkingen van vaccins en wordt hier zo krampachtig over gedaan door overheid en industrie?
  • Ouders zien hun kinderen reageren op een vaccinatie en voelen zich niet erkend en serieus genomen. Hoe wordt het totaal aantal reacties en bijwerkingen gemeten en gepubliceerd?
  • Waarom vindt de discussie inzake vaccineren zo verschillend plaats ten opzichte van ander medicijngebruik, mogelijke bijwerkingen en onderlinge wisselwerking?
  • Waarom is er geen afstemming op de persoon (in overleg met de huisarts of consultatiebureau-arts) in plaats van one size fits all?

Het Rijksvaccinatieprogramma:

  • De leeftijdsgrenzen zijn verlaagd, de frequentie verhoogd, combinaties van vaccins uitgebreid en tevens worden er ineens vaccinaties toegevoegd welke niets met kinderen te maken hebben en in de calculaties meegenomen. Hoe komt dit beleid tot stand en wat is de invloed van een miljarden-industrie hierin?
  • Wat zijn de gevolgen van de vaccinatie-cocktail op het immuunsysteem van kinderen?
  • Is de huidige startleeftijd en opvolgende frequentie goed onderzocht en wat zou de meest optimale vorm zijn gezien ook de verschillen in de startleeftijd en frequentie in verschillende landen?
  • Waarom kunnen burgers niet kiezen voor specifieke vaccins, bijvoorbeeld polio en een eventueel gedifferentieerde vaccinatie frequentie per specifiek vaccin?
  • Waarom is er geen keuzevrijheid in het type toediening: intraveneus of oraal per specifiek vaccin?

Onafhankelijk beleid van de overheid:

  • Het is inmiddels duidelijk dat er een belangenverstrengeling mogelijk is en aangetoond in het verleden, waarbij de farmaceutische industrie en haar lobbyisten in veel gevallen het commerciële belang boven dat van het individu stellen. Wat is precies de rol van de farmaceutische industrie inzake lobby, deelname aan overheidswerkgroepen en het Rijksvaccinatieprogramma en de onafhankelijkheid van de overheid en vertegenwoordigers van de overheid hierin?
  • In hoeverre kunnen onafhankelijke onderzoeken worden opgestart naar het mogelijk voorkomen van ziektes bij kinderen en volwassenen in de gevaccineerde groep ten opzichte van niet-gevaccineerde bevolkingsgroepen, bijvoorbeeld de “Bible belt” of andere groepen over de laatste 80 jaar sinds de introductie van vaccins?
  • Hoe kan de overheid een echt onafhankelijk beleid voeren, gebaseerd op open en onafhankelijk wetenschappelijk onderzoek waarbij criteria worden opgesteld welke ook weer ter discussie kunnen staan bij nieuwe data en feiten?
  • Hoe kan de farmaceutische industrie waarborgen dat er geen fouten worden gemaakt bij de productie van virussen en vaccins en voorkomen dat deze in de samenleving terechtkomen? Is hier een onafhankelijke controle op door overheden?
  • Hoe kan de lobby en de monopolistische macht en kennis van de farmaceutische industrie, buiten het zicht van de burger, beteugeld worden?

Informatievoorziening:

  • Loopt de vaccinatiegraad werkelijk terug en op welke cijfers is dat gebaseerd? Wordt de HPV Meidenprik ineens in de tellingen meegenomen, de ACWY voor meningokokken en het feit dat mogelijk veel vluchtelingen en immigranten niet zijn ingeënt?
  • Is er momenteel wel een probleem anders dan in de afgelopen 50 jaar waar eens in de zoveel tijd een epidemie uitgebroken is met een vele malen lager aantal slachtoffers dan verkeersdoden, drugs- en alcoholdoden?
  • Hoe kan het dat niet-gevaccineerden een risico zijn voor gevaccineerden, even los van de nog niet gevaccineerde zuigelingen?
  • Ook gevaccineerden kunnen altijd de betreffende ziekten krijgen, dus vaccinatie biedt geen garantie; zie bijvoorbeeld de recente bof-uitbraak onder studenten of de 93% bescherming bij een steward die vervolgens de mazelen krijgt en ineens onder-gevaccineerd zou zijn en bij 1 prik meer, 97% beschermd zou zijn geweest?
  • Wat is de rol van hygiëne en schoon water op het voorkomen van dergelijke ziekten, gezien de directe relatie met oorlogsgebieden en slechte hygiënische omstandigheden?
  • Waarom leest de website van de WHO als het jaarverslag van een multinational qua omzet en penetratiegraad van vaccins per regio met duidelijke omzet-uitschieters tijdens de vogel- en varkensgriep?

Dit zijn allemaal goede en reële vragen van onafhankelijk denkende burgers die antwoorden en voorlichting vereisen van de overheid. In het huidige waan-van-de-dag-denken zien we vaker op de achtergrond een hijgende (farmaceutische) industrie, bang voor het verlies of verkleining van hun door overheden voorgeschreven, risicoloze miljardenbusiness. Ik krijg sterk de indruk dat er een grote slag te winnen is bij veel meer transparantie, inspraak, betrokkenheid en communicatie tussen burgers en overheid. Zoals op vele maatschappelijke terreinen momenteel. Er wordt nog teveel uitgegaan van een domme, op nepnieuws reagerende burger die niet voor zichzelf kan denken. Dat dit irriteert bij een bevolking waarvan meer dan 50% op HBO-niveau functioneert zien we steeds meer terugkomen.

Bij mijn afwegingen inzake privacy-vraagstukken ga ik bij voorkeur eerst van de basisprincipes uit, in dit geval de integriteit en zelfbeschikkingsrecht over het eigen lichaam, wat een grondrecht is. Vervolgens wordt dit afgezet tegen andere rechten vanuit proportionaliteit, subsidiariteit en doelbinding. Daar wordt beleid op gemaakt, uitvoering op afgestemd en eventuele technologische ondersteuning in geboden. Afwijkingen op genuanceerd beleid dienen daarbij in zwaarwegende gevallen te worden onderbouwd vanuit onafhankelijke cijfers en voorzien van tijdelijkheid, in plaats van weer nieuwe structurele en vrijheidsbeperkende wetgeving.

Mogelijke oplossingsrichtingen zouden kunnen liggen in:

  • Duidelijke voorlichting en controle op de productie en samenstelling van vaccins;
  • Onafhankelijke effectstudies naar de risico’s en bijwerkingen van vaccins en onderzoek naar het bestaan van diverse ziekten op latere leeftijd, ook ten opzichte van niet-gevaccineerde populaties;
  • Een gedifferentieerde aanpak binnen een algemeen voorgesteld Rijksvaccinatieprogramma inzake aantal, type, wijze van toediening en frequentie van vaccinaties;
  • Een zeer duidelijke scheiding tussen overheid en industrie alsmede strikte controle op integriteit en belangenverstrengeling;
  • Een open en transparante informatievoorziening, ook inzake negatieve effecten en bijwerkingen, met participatie van belanghebbenden.

Verplichte vaccinatie heeft ook nog een andere nuance. Gaat het over een verplicht vaccin tijdens een epidemie met een tijdelijkheid of standaard een geheel verplicht vaccinatieprogramma? En hoe gaat dat in de toekomst als er nieuwe vaccins en vaccinfrequenties in het programma worden opgenomen, zonder enige democratische besluitvorming?

Zullen biochips en andere chips in een onbewaakt moment hier ook deel van gaan uitmaken en worden we dan als gehele bevolking verplicht gechipt door onze overheid? Hoe kunnen burgers dit soort zaken voorkomen in de politieke waan van de dag waarin bij elk uitvergroot incident wordt geroepen om een sterke man of vrouw die nu maar eens knopen moet doorhakken? Hoe wordt er met medisch-ethische zaken rekening gehouden en het zelfbeschikkingsrecht op het lichaam van elke burger? Een democratie is zo sterk en fatsoenlijk als zij omgaat met haar minderheden en zeker haar grondrechten.

Hoog tijd dus voor antwoorden in plaats van repressie en dwang en een open en transparant, onafhankelijk Rijksvaccinatieprogramma waarin alle gesprekspartners betrokken en serieus worden genomen. Slechte vragen bestaan alleen voor geloofsfanatici, niet voor wetenschappers!

Gepubliceerd in Columns

28 januari is de Europese Dag van de Privacy. In dit verband organiseerden ECP en Privacy First op 28 januari 2019 in Nieuwspoort gezamenlijk de Nationale Privacy Conferentie en reikte Privacy First de jaarlijkse Nederlandse Privacy Awards uit. Het was een succesvolle dag waar de belangrijkste spelers op het gebied van privacy in Nederland aanwezig waren. Vertegenwoordigers van de overheid, ondernemers met innovatieve ideeën, juristen, geïnteresseerden en voorvechters, ze waren er allemaal. 

dagvoorzitter Tom Jessen
De Nationale Privacy Conferentie werd geopend door dagvoorzitter Tom Jessen (presentator RTL-Z en BNR), die vervolgens het woord gaf aan Bas Filippini (voorzitter Privacy First) en Marjolijn Bonthuis (adjunct-directeur ECP|Platform voor de InformatieSamenleving). 

Bas Filippini – voorzitter Stichting Privacy First

Bas Filippini vertelt dat Stichting Privacy First nu tien jaar bestaat en dat er in die tien jaar veel veranderd is, zowel in positieve als in negatieve zin. De slogan van Privacy First is ‘eigen keuzes in een vrije omgeving’; dat is waar Privacy First voor staat. Dagelijks spreekt Privacy First met een breed privacyveld op basis van feiten en altijd met een positieve insteek. Daarom wil Privacy First door middel van de Nederlandse Privacy Awards graag een groene kaart geven aan organisaties die de privacy in Nederland versterken. Privacy First voert tevens rechtszaken in het algemeen belang, doet aan politieke lobby en organiseert evenementen, waaronder de Nederlandse Privacy Awards. Naast een nationale ambitie heeft Privacy First ook de ambitie om uit te groeien tot een internationale (Europese) organisatie. Privacy First is afhankelijk van donaties en vrijwilligers en doet graag een oproep aan het publiek om Privacy First in haar missie te steunen. 

Bas Filippini (Privacy First) en Marjolijn Bonthuis (ECP)

Marjolijn Bonthuis - adjunct-directeur ECP|Platform voor de InformatieSamenleving

ECP werkt aan de knelpunten die de informatiesamenleving nog heeft. Dat doet ECP graag publiekelijk en met alle relevante partijen. ECP is er trots op dat een brede afspiegeling van de samenleving aanwezig is bij de Nationale Privacy Conferentie en is trots op de unieke samenwerking met Privacy First en de Nederlandse Privacy Awards. De winnaar van de Nederlandse Privacy Awards 2018, IRMA, heeft na de Privacy Awards afgelopen jaar nog diverse andere awards binnengesleept. Dit laat zien dat de Privacy Awards een belangrijke steun zijn voor goede initiatieven.  

ECP doet veel, ook op het gebied van privacy. Op privacygebied gebeurt dat op publiek-privaat vlak, samen met andere initiatieven en werkgroepen. Aan de publieke kant wordt er samengewerkt met het Ministerie van Economische Zaken en mede dankzij hen kan deze dag worden georganiseerd. 


Aleid Wolfsen – Autoriteit Persoonsgegevens (AP)
 

Het is heel erg belangrijk dat op een dag als vandaag mooie privacy initiatieven worden geëerd door middel van de Nederlandse Privacy Awards. Iedereen kijkt er naar uit om de winnaars te zien en de sprekers voor de uitreiking zijn de cliffhangers naar het einde van de dag.

De Autoriteit Persoonsgegevens heeft een actuele enquête gehouden die goed weergeeft waar de zorgen in de samenleving zitten als het gaat om de bescherming van privacyrechten. Uit de enquête blijken verrassende dingen: zo heeft 94% van de bevolking enige zorgen of zijn of haar privacyrechten wel worden gerespecteerd, waarvan een derde zelfs veel tot zeer veel zorgen heeft. Dat is één op de drie die serieuze zorgen heeft of de privacyrechten wel goed worden nageleefd. Dit percentage is hoger dan aanvankelijk werd gedacht; mogelijk komt dat door de huidige ontwikkelingen en omdat er veel datalekken in het nieuws zijn geweest. Hierdoor zijn privacyrechten heftig geschonden en zijn mensen teleurgesteld. Het schaden van het vertrouwen doet iets met mensen. Aleid Wolfsen - Autoriteit Persoonsgegevens


De top drie van zaken waarover mensen de meeste zorgen hebben zijn: ‘kopietje ID’, dit komt mogelijk doordat mensen vaak horen over identiteitsfraude en hoe makkelijk dat gaat. Het tweede waar mensen zich zorgen over maken is het tracken van online zoekgedrag. Hierover ontvangt de Autoriteit Persoonsgegevens veel klachten. Binnenkort komt de Autoriteit Persoonsgegevens met guidance over hoe om te gaan met cookies en tracking cookies. Daarin staat onder andere wat er mag en wat er niet mag. Mensen zijn serieus bezorgd over welke gegevens er allemaal worden verzameld als ze online zijn. Twee vragen die rijzen zijn: welke gegevens worden verzameld en wat gebeurt er met al die gegevens? Hier hebben mensen geen goed zicht op en er wordt geen duidelijke uitleg over gegeven. Het derde waar mensen zich zorgen over maken zijn locatiegegevens. Er is steeds meer berichtgeving over camera’s die overal hangen. En over bijvoorbeeld WiFi-tracking, dat veel wordt toegepast in Nederland. Hierover heeft de Autoriteit Persoonsgegevens onlangs ook een guide uitgegeven. Het tracken van mensen, dat je als vrij burger in een vrij land, vrij in een stad moet kunnen winkelen, vrij moet kunnen reizen, als dat wordt aangetast, daar zijn mensen serieus bezorgd over. Want we willen niet gevolgd worden. Dat is de top drie van de zorgen die mensen hebben. 

De Autoriteit Persoonsgegevens geeft ook altijd tips. Eén ervan is: check de instellingen van de apps op je telefoon. Veel van die apps zijn razend nieuwsgierig. We zijn ons onbewust van het feit dat je veel over jezelf blootgeeft aan die apps en veel informatie prijsgeeft als je de instellingen niet aanpast. Wees je bijvoorbeeld bewust van het dataspoor dat je achterlaat op het internet. En daarnaast: maak gebruik van je privacyrechten. Veel mensen zijn zich nog onbewust van het feit dat je aan organisaties kan vragen welke gegevens ze over je hebben, dat je die gegevens kunt laten verwijderen als ze niet meer nodig zijn of ze kunt laten corrigeren. Of je gaat naar een nieuwe provider en je wilt je data meenemen: dit heet dataportabiliteit en dit recht kennen mensen nog nauwelijks. 

Als kijktip geeft Aleid Wolfsen aan om de documentaire Democracy te kijken, over de totstandkoming van de Algemene Verordening Gegevensbescherming. Bekijk de trailer HIER (Youtube). 

Hoe staat de Autoriteit Persoonsgegevens er, qua werk, nu voor sinds de inwerkingtreding van de AVG op 25 mei tot eind december 2018? Een aantal cijfers: er zijn zo’n 10.000 klachten binnengekomen, oftewel 10.000 potentiële schendingen van de AVG. De AP vond dit opvallend veel; dit hadden zij aanvankelijk lager ingeschat. In 2018 heeft de AP ook heel veel telefoontjes gekregen: het totale aantal lag op zo’n 35.000, dit waren vijf keer meer telefoontjes dan in 2017. Momenteel loopt er een groot aantal onderzoeken. De eerste handhavingsactiviteiten hebben plaatsgevonden en de eerste serieuze boete onder de AVG is opgelegd aan een bedrijf. Het eerste verwerkingsverbod is opgelegd, aan de Belastingdienst in dit geval, wegens de verwerking van het BSN-nummer in het BTW-nummer van zelfstandigen. Ook zijn er voor het eerst dwangsommen opgelegd, aan de Nationale Politie, het UWV en private bedrijven. In de beginfase van de AVG had de AP nog een voorlichtende rol, maar gaandeweg zal de AP steeds strenger worden. Er is ook een toename in het aantal gemelde datalekken en het is schokkend om te zien hoe slecht data soms beveiligd zijn bij zorginstellingen en overheden. De Autoriteit Persoonsgegevens heeft ook veel onderzoek gedaan naar overheden en bedrijven om daar basaal de boel op orde te krijgen, zoals “heeft u een functionaris gegevensbescherming nodig, ja of nee? Heeft u de boekhouding op orde, ja of nee? Heeft u een verwerkingsovereenkomst?” Dat soort basale dingen. Als dit op orde is, dan ondervind je daar veel plezier van. 

Als afsluiting: mensen realiseren zich steeds meer over alles wat met privacy en dataprotectie te maken heeft. En eigenlijk zijn het ook geen synoniemen, want dataprotectie is nog groter en veel meer dan het klassieke privacy. Onder privacy valt onder andere lichamelijke integriteit, je vrijheid van geweten, je huisrecht, je communicatievrijheden en dat je je vrij kunt bewegen. Dat zijn allemaal afzonderlijke grondrechten. Dataprotectie is door de digitalisering inmiddels ontwikkeld tot een soort moeder of hoeder van alle andere grondrechten. Zoals over je geloof, je vrijheid van geweten, je lichamelijke integriteit, je politieke activiteiten, al dat soort informatie vertaalt zich in data. Als je de datarechten van mensen schendt, dan raak je de fundamenten van de westerse rechtsorde. Deze hebben te maken met de democratische rechtsstaat, gelijkheid van mensen, solidariteitssystemen zoals verzekeringen en gelijkwaardigheid van mensen. En al die vier fundamenten zijn at stake als je de privacyrechten van mensen schendt. Als je de privacyrechten niet beschermt, dan eroderen die fundamenten. Om het nog iets groter te maken: de vrijheid van de vrije wil, kan dan ook eroderen. Daarom is privacybescherming zo belangrijk en neemt het belang daarvan iedere dag toe. 

Aleid Wolfsen beantwoordde ook nog een aantal vragen van de dagvoorzitter, zoals over de 10.000 klachten die zijn binnengekomen in 2018. Dit was meer dan aanvankelijk gedacht en de Autoriteit Persoonsgegevens denkt dat dit ook wel zal aanhouden, doordat er steeds meer data wordt verzameld. Met de komst van PSD2 is het toezichtsveld van de Autoriteit Persoonsgevens uitgebreid naar fintechs, waarmee bankgegevens, na toestemming, kunnen worden gedeeld. Deze bankgegevens zijn zeer persoonlijk; daaraan kan je immers zien waar je bent, waar je aan geeft, wat je hobby’s zijn en wat je politieke voorkeur is. 

Er is ook wel kritiek op de AP, aangezien de AP zo’n cruciale rol vervult. De vraag is of ze de werklast wel aankunnen, ook al is de AP inmiddels verdubbeld. Hierop zegt Aleid Wolfsen dat de Autoriteit de komende periode wel moet blijven groeien en misschien zelfs nog wel een keer moet verdubbelen om de toenemende werklast aan te kunnen. 

ECP 13

Vragen uit het publiek

Hoe ziet Aleid Wolfsen de schendingen van privacy die plaatsvinden met toestemming van mensen zelf? Die toestemming is een belangrijk onderdeel van de AVG en mensen drukken online al snel op “OK”, niet omdat mensen lui zijn, maar omdat de teksten te uitgebreid zijn om door te nemen. Of dat je op “OK” moet drukken, omdat je anders niet krijgt wat je wilt en dat hierin eigenlijk geen vrije toestemming mogelijk is. 

Aleid geeft aan dat hij die zorgen grotendeels deelt. Toestemming is een fundament. Maar wat je ziet is dat er allemaal verleidingstechnieken zijn, zodra je op een site zit, door onder andere de kleur en grootte van een knop om toestemming te geven, anders dan je misschien van plan was. Dit is geen privacy by design; het is geen eerlijke, gelijkwaardige keuze. Wat we moeten doen met zijn allen, is strenger worden. Zorgen dat je dat soort systemen goed gaat bekijken. Is het echt zuivere, eerlijke en integere privacy by design? En ten tweede: mensen proberen te emanciperen in ‘weet waar je ja tegen zegt’. Daar zijn mensen zich helaas nog niet goed van bewust. Door een enkele klik kan jouw data heel makkelijk worden verspreid. De Franse toezichthoudercollega’s hebben bijvoorbeeld een boete opgelegd aan Google van 50 miljoen, omdat het niet goed duidelijk was waarvoor je toestemming verleende. Eén van de dingen die moet veranderen is dat je je toestemming even gemakkelijk moet kunnen intrekken, als dat je hem hebt gegeven. 

Een andere vraag uit het publiek ging over de kracht van de boete als signaal. De vraagsteller zou het eigenlijk fijn vinden om eens te zien van de AP dat er een boete zou worden opgelegd over privacy by design. Bedrijven zitten namelijk nog heel erg in compliance modus en willen slechts het minimale doen om aan de wetgeving te voldoen. Terwijl privacy by design gaat over proactief die problemen aanpakken. Dat er bijvoorbeeld een rechtszaak wordt gestart waaruit een boete volgt, omdat er niet het hoogst haalbare werd gedaan. 

Aleid Wolfsen reageert hierop dat je dat dan mooi als voorbeeld zou kunnen gebruiken voor de rest van de wereld. Hij verklapt hierbij een geheim: de AP heeft bij allerlei overheidsinstellingen gekeken of er een Functionaris Gegevensbescherming (FG) aanwezig was, daarbij ook zoekende naar eentje die geen FG had. Die zou de AP dan als voorbeeld kunnen gebruiken voor heel Nederland. Maar uiteindelijk bleek (gelukkig) dat iedereen op tijd een FG had. 

Bekijk de presentatie van Aleid Wolfsen (pdf).


Sophie in ’t Veld – D66 Europarlementariër en privacyvoorvechtster 

Sophie in ’t Veld
Sophie in ’t Veld is sinds ze in 2004 als Europarlementariër is gekozen al met het onderwerp privacy bezig. In die tijd was privacy nog een niche-onderwerp: op zijn best was het een elitair onderwerp, voor de witte-wijn-sippende elite. De enquête van de Autoriteit Persoonsgegevens heeft echter wel aangetoond dat als 94% van de mensen zich zorgen maakt over hun privacy, het echt geen elite-onderwerp meer is. 

We hebben natuurlijk de AVG, of de GDPR zoals we die soms liefkozend noemen. Van de vijftien jaar dat Sophie zich met privacy bezighoudt zijn er vijf jaar opgegaan aan de GDPR. Het was een lang en ingewikkeld proces, met onder andere 4000 amendementen. Vorig jaar waren we natuurlijk heel erg blij dat de GDPR van kracht werd. We waren ook heel trots, van kijk ons Europa nou toch eens even. Wij hebben gewoon de beste privacywet ter wereld! Maar daar mag het natuurlijk niet ophouden. Het begint er natuurlijk al mee, dat de GDPR goed moet worden toegepast en gehandhaafd. En dan valt Sophie in ’t Veld het op, dat de toezichthouders eigenlijk belachelijk weinig middelen hebben gekregen om dat goed te doen. Want het is natuurlijk hartstikke fijn dat de Autoriteit Persoonsgegevens is verdubbeld, naar 150 man. Maar met 150 man tegen Facebook alleen al, begin je natuurlijk bijna niks. Om over alle andere bedrijven maar te zwijgen. En dan hebben we het nog niet eens over de NSA of de Chinese geheime diensten of de Europese geheime diensten. 

We hebben het allemaal over de GDPR en iedereen is vergeten dat er eigenlijk een dataprotection package was. Er was nog een tweede poot, maar die is volstrekt uit het beeld verdwenen. We noemen die onderling de Police Directive, maar eigenlijk heeft hij een hele lange naam (red: Richtlijn (EU) 2016/680 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, en betreffende het vrije verkeer van die gegevens). Het is een richtlijn die regels stelt voor het gebruik van persoonsgegevens door politie, justitie en soms geheime diensten. En de omzetting daarvan is werkelijk belabberd. Er zijn momenteel ongeveer acht EU-lidstaten die hem hebben omgezet, ruimschoots te laat. En dat betekent dat 20 andere lidstaten dat niet hebben gedaan. Maar dit is wel de richtlijn die ons beschermt als de politie bijvoorbeeld gegevens uitwisselt met andere landen. In de tussentijd worden er door de Europese Commissie en de Europese lidstaten nieuwe maatregelen aangekondigd voor het gebruik van persoonsgegevens door politie en justitie, ook over de grenzen heen. Terwijl de bescherming gewoon dramatisch achterblijft en dat is een van de grootste punten van zorg. Wij zijn ons natuurlijk allemaal heel bewust van privacy, risico’s en gegevensbeschermingsrisico’s. Inmiddels weet iedereen wel, dat als je je gegevens aan Facebook geeft, dat er van alles en nog wat mee gedaan kan worden. We zijn eigenlijk ongelooflijk naïef als het gaat over wat de overheid allemaal met onze gegevens mag doen. En dan voornamelijk de overheden die onder de Police Directive zouden vallen. Wij hebben blijkbaar een blind vertrouwen in de overheid, en dat is op zich eigenlijk goed nieuws. Maar Sophie leeft onder het motto van: “trust is good, control is better”. We zien ook gewoon in de praktijk dat er niet alleen maar fouten worden gemaakt met onze gegevens door politie, justitie en veiligheidsdiensten, maar dat er ook sprake is van misbruik. De groei van behoorlijk autoritaire partijen binnen Europa, partijen die inmiddels ook wel aan de macht zijn en die er niet voor terugschrikken om Europese databestanden te gebruiken voor politieke doeleinden, tegen politieke tegenstanders. Dan moeten we ons wel écht zorgen over gaan maken. We zijn hier te naïef over. 

We zijn terecht bezorgd over wat bedrijven met onze persoonsgegevens kunnen doen en of dat goed beschermd is. Maar we zijn ons nog steeds te weinig bewust van het feit dat die bedrijven in overgrote meerderheid, in toenemende mate, niet-Europese bedrijven zijn. Sophie las onlangs een alarmerend rapport van KPMG, waarin is berekend dat van alle grote platformen wereldwijd, er slechts 18% in Europese handen zijn. En als je dat omrekent naar waarde, dan is dat slechts 2%. Wij zijn er zo aan gewend, al voor het internet, dat onze halve economie uit Amerika komt. Dat is even een ander verhaal: driekwart is zo ongeveer in handen van de Amerikanen, dan heb je nog een deel in handen van de Chinezen en een heel minimaal deel in handen van de Europeanen zelf. Wij gebruiken die diensten, dag in dag uit. Dat betekent dan ook, dat zij niet alleen onze gegevens hebben en daarmee ook heel veel geld verdienen. Maar ze vormen ook onze kijk op de wereld. Zij filteren in hoge mate de informatie die tot ons komt. Het wordt nog bitter ironisch als je bedenkt dat onze eigen overheden die bedrijven vragen om de informatie te filteren, uit allemaal zogenaamde veiligheidsoverwegingen. Dit is buitengewoon zorgelijk. We stonden terecht op onze achterste benen na de onthullingen van Facebook en Cambridge Analytica, die de verkiezingen hadden gemanipuleerd. We maken ons grote zorgen over fake news dat wordt gepropageerd door Rusland. Maar het feit dat wij allemaal, elke dag, dit soort diensten gebruiken, zonder erbij stil te staan dat zij ons venster op de wereld zijn, dat is heel zorgelijk. 

Binnen Europa hebben we dan de GDPR en Sophie heeft de hoop dat de Police Directive binnenkort ook goed uitgevoerd gaat worden. Maar ze ziet dat er voortdurend spanningen zijn binnen Europa, waarbij het Europees Parlement in meerderheid staat voor hele stevige privacybescherming en vaak ook standpunten inneemt die dan later door het Europees Hof van Justitie bevestigd worden. Maar ze ziet dat de meer conservatieve krachten en ook de regeringen van de Europese lidstaten, onafhankelijk van de politieke kleur, voortdurend maar ontzettende druk zetten tegen goede privacybescherming. Dit uit een aantal overwegingen, maar vooral de nationale veiligheid. Er is trouwens geen definitie van nationale veiligheid, maar het wordt wel te pas en te onpas gebruikt om de privacy te beperken. Er wordt dan geroepen "privacy zit de nationale veiligheid in de weg". En dat is dan genoeg om de meest kritische stemmen te doen verstommen. Er is ook nog een ander aspect, in de trans-Atlantische verhoudingen met name, dat Europa een ongelooflijk onderdanige houding tentoonspreidt. Dat is in het licht van het voorgaande, dat de meeste bedrijven in handen zijn van de Amerikanen, zorgelijk. 

In Europa is een wet in voorbereiding genaamd e-evidence. In principe een goed idee, want die wet zegt "we hebben een grote open ruimte in Europa zonder binnengrenzen". Boeven kunnen naadloos over de grens samenwerken. Internationale criminele organisaties gebruiken ook internet, apps, mobieltjes en dergelijke. Dus moeten we daar snel op kunnen reageren: als bijvoorbeeld de politie in Nederland digitaal bewijsmateriaal nodig heeft uit Roemenië, dan moet de Nederlandse politie dat rechtstreeks kunnen opvragen. Dat is op zich een logische gedachte, alleen is het jammer dat de Europese Commissie, altijd onder druk van de Europese lidstaten, een voorstel heeft gedaan dat totaal disproportioneel is. Waar nauwelijks nog safeguards voor burgers ingebouwd zitten. Maar wat nog meer zorgen baart is dat de Europese Commissie dit voorstel eigenlijk op tafel heeft gelegd om daarna te kunnen zeggen: wij hebben dit in Europa en nu gaan we hetzelfde doen met Amerika. Dan hebben we toch echt een probleem. In Europa maken we zelf de wetten en kunnen we stemmen voor onze eigen volksvertegenwoordigers. Maar wij hebben geen enkele invloed op de Verenigde Staten. Punt is dat de Verenigde Staten een wet hebben aangenomen genaamd de US Cloud Act. Daarmee hebben ze zichzelf de macht gegeven om bedrijven die een aanwezigheid hebben in de VS, te dwingen om persoonsgegevens te overhandigen ook als ze niet in de VS zijn opgeslagen. Misschien dat wij dat ook wel handig zouden vinden als we dat zouden kunnen doen. Maar in een democratische rechtsstaat vinden wij het toch wel logisch als daar een rechter tussen zit, om zoiets te toetsen. Sophie ziet een houding bij de Europese Commissie en de lidstaten die verregaand onderdanig is aan de VS, in plaats van aan de rechten van de eigen Europese burgers. Ze vindt dat we daarin een omslag moeten maken. 

Dus, jazeker we moeten alert zijn wat bedrijven met onze gegevens doen, maar we moeten ons nog veel meer zorgen maken over wat overheden met onze gegevens kunnen doen. En de vrijwel onbeperkte bevoegdheden die wij de afgelopen jaren hebben geschapen voor politie, justitie en veiligheidsdiensten. Want zeker veiligheidsdiensten, daarop is toch minder controle dan op andere activiteiten. Zelfs al is het in Nederland goed geregeld, dat betekent nog niet dat het in andere landen ook goed geregeld is. Als ze ziet hoe Europese lidstaten de afgelopen jaren de Amerikaanse en de Britse geheime diensten volledig hun gang hebben laten gaan, bijvoorbeeld de hack van Proximus, de Belgische telecomprovider, door de Britse geheime dienst. Dat kan niet onderzocht worden en de waarheid hierover zal nooit volledig boven tafel komen. Maar die diensten breken wel in binnen onze systemen, ook die van Europese instellingen, misschien wel van de NAVO. Dit is overigens ook relevant als je bedenkt wat Brexit allemaal gaat betekenen voor gegevensbescherming. 

Als conclusie moet dit volgens Sophie in ’t Veld echt het volgende hoofdstuk zijn. We moeten nu ten eerste die AVG zeer stevig handhaven en uitleg geven aan hoe die moet worden geïnterpreteerd. Als architecten van de AVG hebben ze zeer expliciet bedoeld dat toestemming of instemming gegeven moet worden in een context, waarmee mensen op een hele simpele en toegankelijke manier informatie krijgen. Dat staat er ook expliciet in, dus als bedrijven dat omzeilen door het ingewikkeld te maken, dan is dat gewoon een overtreding en moeten ze daarvoor bestraft worden. Daarnaast moet de Police Directive geïmplementeerd worden. En wat Sophie in ’t Veld betreft, en daar zal ze de komende jaren druk op uitoefenen, komt er een nieuw voorstel waarbij die Police Directive niet meer een richtlijn is, maar meteen een verordening wordt. Want we hebben steviger bescherming nodig. Misschien wordt het ook tijd om te spreken over Eurocommissarissen en Ministers die gegevens, gebruik van gegevens en bescherming van gegevens als portefeuille hebben. Niet als een nevenactiviteit, maar een Minister voor Data en een Eurocommissaris voor Data. Die gewoon horizontaal kijkt hoe het zit met de gegevensbescherming, maar natuurlijk ook gewoon met het positieve gebruik en de ontwikkeling van persoonsgegevens. 

Ook moeten we kijken naar andere instrumenten, zoals mededingingsregels, belastingen en het vertalen van de economische waarde van persoonsgegevens in een prijskaartje. Laat gebruikers van persoonsgegevens betalen voor het gebruik van die gegevens. Net zoals ze moeten betalen voor het gebruik van energie. Als het wat kost, dan zult u zien dat het gebruik van gegevens omlaag gaat. Dat geldt zowel voor bedrijven als voor overheden, dus misschien moeten we ook eens kijken naar het belasten van de grote internetgiganten, niet op basis van hun winst maar op basis van hun gebruik van persoonsgegevens. 

Uiteindelijk ligt dit ook bij onszelf, we hebben absoluut wetgeving nodig om het individu te beschermen tegen giganten als Facebook of de NSA en de grote jongens, maar uiteindelijk moeten we ook kritische burgers zijn. Natuurlijk is dat een ontwikkelingsproces. Net zoals dat je vanzelfsprekend je deur op slot doet, en dat je bij jezelf nadenkt over hoe je je door deze wereld beweegt. 

Sophie in 't Veld en Tom JessenDagvoorzitter Tom Jessen geeft een andere invalshoek. Wanneer je op internet zoekt hoe tech-bedrijven gemaakt zijn, dan kom je ook het woord dopamine tegen. Iedere keer als er een berichtje in je sociale media verschijnt, wanneer je een melding hebt, dan komt er dopamine vrij. Dit heeft een verslavend effect. Nu zijn er campagnes vanuit de overheid over drank, drugs en roken en hij vraagt aan Sophie in ’t Veld of het niet tijd is voor een campagne vanuit de overheid die waarschuwt voor het verslavende effect van sociale media. 

Sophie in ’t Veld reageert hierop: stel, er zijn mensen die niet op Facebook en Instagram zitten, maar dat is niet voldoende. Zelfs al heb je geen mobiele telefoon, zelfs dan word je overal waar je rondloopt gefilmd, is er facial recognition, je ontkomt er niet aan. Daarom is het belangrijk dat we goed reguleren en dat we alle instrumenten gebruiken om ons zo goed mogelijk te beschermen. Ze is het met Aleid Wolfsen eens: het gaat niet om privacy, misschien moeten we daar ook eens een andere term voor verzinnen. Want privacy klinkt toch een beetje als witte wijn en grachtengordel. En dat is natuurlijk niet zo, het heeft zo langzamerhand alles te maken met onze vrijheid, met de kwaliteit van onze democratie, onze burgerrechten, onze verhouding met de overheid en met gelijke behandeling. Dus een campagne vanuit de overheid om te waarschuwen voor het verslavende effect van sociale media is een aardig idee, maar bij lange na niet genoeg. 

Vragen uit het publiek

Vraag uit de zaal: als we het hebben over een andere term voor privacy dan kan er worden gewezen op het boek Surveillance Capitalism van Shoshana Zuboff, daarin gaat het over een sanctuary. Een thuis waarin mensen zichzelf kunnen zijn, zonder zich bespied te voelen et cetera. Deze vraag heeft hier ook mee te maken: veel instanties zoals de Autoriteit Persoonsgegevens zeggen dat digitalisering een feit is. Maar, gezien de huidige stand van de techniek, maar ook van de politiek, hoe denk je over de bescherming van de analoge omgeving? De vrije leefomgeving van mensen waarin ze zich beschermd willen voelen op het gebied van hun persoonsgegevens en de mate waarin ze bespied kunnen worden?

Sophie in ’t Veld reageert dat er natuurlijk nog zoiets is als een analoge wereld, maar we hadden al regels. Er zijn weleens mensen die denken dat er voor de GDPR helemaal niks was en dat de GDPR een soort van oerknal is, maar dat is helemaal niet waar. We hebben al 25 jaar privacywetgeving en diezelfde principes blijven gewoon van toepassing. Punt is dat het niet alleen gaat om de bescherming van privacy, het gaat er ook om wat er bijvoorbeeld met Big Data kan gebeuren. De vraagstelling is dus veel breder dan dat, want laten we er ook bij stilstaan dat het ongelooflijk veel goeds brengt. Maar we moeten wel het individu, de mens, blijven beschermen. Misschien moeten we het niet hebben over bescherming van persoonsgegevens, maar over bescherming van personen. 

Tweede vraag uit het publiek: Neelie Kroes heeft in 2013 naar aanleiding van de Snowden-onthullingen gezegd, toen ze Eurocommissaris was, dat Europa behoefte heeft aan een huge privacy focused company. Voor zover de vraagsteller weet is deze er in de afgelopen zes jaar niet gekomen. En als Europa iets uitvindt, dan wordt dat overgenomen door Amerikanen. De realiteit is dat wij consument zijn van Amerikaanse en Chinese producten. Wat is volgens Sophie in ’t Veld echt nodig in Europa om de concurrentie met de Amerikanen en Chinezen aan te gaan?

Sophie reageert dat er in Europa ongelooflijk veel leuke nieuwe bedrijven en start-ups zijn, maar dat wanneer ze een beetje gaan groeien, ze vaak worden weggekocht. En als je aan die bedrijven vraagt: waarom dan? Dan zeggen ze dat ze in Europa niet meer kunnen groeien, omdat er geen echte Europese markt is. Er zijn gewoon 28 nationale markten en het punt is dat die nationale markten barrières zijn. Want die hebben nationale wetgeving en nationale belastingen. Die fiscale grenzen zijn een drama, die voorkomen dat we onze eigen Europese internetgiganten krijgen. En het punt is dat de nationale lidstaten zich beroepen op hun nationale soevereiniteit. Maar het is een fictieve nationale soevereiniteit, want we geven de macht gewoon weg. In de digitale wereld is praten over nationale soevereiniteit kletskoek. We moeten veel meer concurrentie hebben. We moeten zorgen dat onze Europese kampioenen hier blijven, dat ze niet worden weggekocht en de ruimte krijgen om te groeien en dat moet ook snel gaan gebeuren, want onze afhankelijkheid van Amerikaanse bedrijven en in toenemende mate van Chinese bedrijven is echt heel erg zorgwekkend. 

Laatste vraag uit het publiek gaat over de geldelijke waarde van persoonsgegevens. Sophie in ’t Veld stelde voor als maatregel het betalen voor het gebruik van data en dan is de vraagsteller benieuwd aan wie die betaling gaat plaatsvinden en wat Sophie zich daarbij voorstelt. Want als de gebruiker betaald wordt voor het delen van zijn data, kan dat een extra druk geven om die data te delen. 

Sophie in ’t Veld reageert dat ze niet een groot plan hiervoor in een la heeft liggen. Maar de vraag is: waarom worden al die data door bedrijven opgeslagen? Omdat ze er geld mee verdienen. Dat is dus een prikkel en iets waarmee je ze kan pakken. Je zou dus kunnen beginnen met te zeggen, we gaan bedrijven belasten voor het gebruik van persoonsgegevens. Dus dan zullen ze gedwongen worden om veel meer na te denken of ze al die data nodig hebben. Verdienen ze er wel echt zoveel geld mee? Want dat hele verhaal dat ze dat allemaal nodig hebben vanwege de adverteerders, daar wil ze toch wel haar vraagtekens bij zetten. En of dat verdienmodel wel klopt, of ze allemaal ten gronde zullen gaan als ze dat verdienmodel niet meer kunnen hanteren. 

Er zitten grote ethische aspecten aan, als je bijvoorbeeld zou voorstellen dat mensen de keuze zouden krijgen tussen betalen met hun gegevens of betalen met cash. Mensen die minder vermogend zijn, die zullen dan toch geneigd zijn om te betalen met hun gegevens. Dat vindt ze een ethische kwestie. Maar er zijn ook andere invalshoeken. Zo is er een app ontwikkeld waarmee je kan zien wat jouw waarde op dat moment voor een bedrijf is, en wat jouw handelingen voor invloed hebben op die waarde. Dat maakt mensen al veel bewuster. Er zullen ongetwijfeld nog veel meer goede ideeën komen in die richting.  

Maar hoe dan ook, als bedrijven geld verdienen met gegevens, dat die economische waarde dan ook gebruikt moet worden, dat geldt ook voor de overheid. Want hoe makkelijk is het om voor een nationale wetgever te besluiten “wij moeten alles weten van iedereen, want dat is goed voor de veiligheid.” Dat is heel makkelijk te besluiten als je dat niet in begrotingshandelingen hoeft te verdedigen. Want als het niks kost, omdat al die gegevens toch al voor het grijpen liggen bij al die bedrijven, dan is het makkelijk. Maar als ze er echt voor moeten gaan betalen en als ze moeten zeggen “we gaan minder geld uitgeven aan zorg, want we moeten meer uitgeven aan het opvragen van gegevens”, dan wordt het een ander verhaal en een politieke afweging. De economische waarde van persoonsgegevens meewegen zal dan zeker leiden tot ander gedrag.

Tijmen Schep – Privacy Label

Tijmen Schep start met een vraag aan het publiek: wat is langer, het toneelstuk van Shakespeare Much Ado About Nothing of de iTunes Terms of Service? Het toneelstuk is met 1000 woorden iets langer, maar het scheelt niet veel. Niemand gaat dat dus lezen en iedereen klikt gewoon op I agree. Maar kunnen we dat dan niet beter ontwerpen? Zodat we begrijpen welke data er wordt verzameld en wat daarmee gebeurt. En dat we niet zo’n lap tekst hoeven te lezen die, laten we eerlijk zijn, is gemaakt voor lawyers. Gewoon leesbaar en begrijpelijk. De EU begrijpt al dat dit een issue is. In de AVG staat al dat er in de toekomst iconen kunnen komen, want die maken het allemaal makkelijker. Maar die iconen van de AVG, dat waren nou niet de meest sexy iconen. Dus kreeg Tijmen de vraag van ECP: kunnen jullie hier niet iets mee en kunnen jullie niet iets beters ontwerpen? 


Tijmen Schep

Het eerste wat we beseften is dat we niet een icoontje moesten maken, dat is te simpel en niet genoeg. We moeten een soort template maken, waarbij we als eerste werden geïnspireerd door de Amerikanen, die hebben bijvoorbeeld een systeem waarbij banken tegenwoordig bepaalde vragen moeten beantwoorden op hun website. Gewoon menselijke, begrijpelijke Jip-en-Janneke vragen. Zoals: wat doe je nou precies en hoe?  En dat mogen ze in hun eigen huisstijl doen, zolang ze die vragen maar beantwoorden. Een ander ding wat we interessant vonden was bijvoorbeeld de verpakking van een pak hagelslag. Naast alle informatie die erop staat en keurmerken heb je ook de ingrediëntenlijst en die is eigenlijk heel interessant, want die vertelt je een boel en is tegelijkertijd een beetje vaag. Zo weet je dat er het meeste van het eerste ingrediënt in zit, maar je weet niet precies hoeveel.   

Tijmen geeft vervolgens een demo van het Privacy Label. De demoversie is HIER te bekijken. 


Pitches Privacy Awards

Na deze drie inspirerende presentaties werd het publiek getrakteerd op 7 pitches van organisaties die genomineerd waren voor een Nederlandse Privacy Award.  Hieronder staan alle genomineerden voor de Nederlandse Privacy Awards 2019. Klik op een genomineerde voor de betreffende pitch:  

Consumentenoplossingen:

Bedrijfsoplossingen:

Overheidsdiensten:

Private Search 2.0 (Startpage.com)

Privacy op Schooltas

Project privacy by design (Belastingdienst)

VraagApp

Privacy Designer (Privacy Company en SURF)

Passantentellingen (gemeente Nijmegen)

Schluss

 

Alex van Eesteren, Startpage.comFrank Schalken, VraagAppMarie-José Hoefmans, SchlussTonny Plas, Privacy op SchooltasLennart Huizing, Privacy CompanyHans Timmermans, BelastingdienstRenske Helmer-Englebert, gemeente Nijmegenjuryvoorzitter Bart van der Sloot

 

Brenno de Winter – ICT-onderzoeker

We gaan met elkaar de jungle in. Waarom de jungle? Omdat dieren dingen doorhebben die wij niet doorhebben. Sommige mensen die Brenno de Winter kennen, weten dat hij Aleid Wolfsen (Autoriteit Persoonsgegevens) altijd een soort giraffe vindt. Want wat doet een toezichthouder? Zo’n giraffe eet in Kenia de bomen leeg en draait zich om en gaat naar Tanzania en na exact een half jaar komt hij bij precies dezelfde bomen terug. Vraag maar aan de Belastingdienst, vraag maar aan het UWV, vraag maar aan Google, Facebook et cetera. Dat is wat een toezichthouder doet en ook al ziet hij er oh zo lief uit, maar ondertussen... Maar even verder die jungle in, je ziet hier een paar zebra’s relaxt water drinken. Simpele vraag: is er geen gevaar? Er is een leeuw en toch staan ze relaxt te drinken. Dit komt omdat er andere dieren op de uitkijk staan. En zodra er één klaar is met drinken, wisselt hij een beveiliger af en zo gaan ze verder. Dat doen eigenlijk alle dieren in de jungle, behalve één soort, namelijk de homo sapiens. Wij doen dat niet, wij gaan niet elkaar waarschuwen als er gevaar is, wij gaan niet elkaar vertellen hoe je iets moet doen om gevaar af te wentelen. En dus overvalt, een beetje zoals een narwal, die hele jungle ons met regelgeving die zo eng is.


Brenno de Winter

En waarom de narwal? De narwal is een dier dat heel goed is in verstijven. De hartslag en de stofwisseling gaan omlaag. Dit dier zit bij gevaar dodelijk stil en gaat langzaamaan zo de diepte in. Maar ja, als je gevaar ziet, dan wil je misschien ook wel vluchten of vechten. Dat kan dat dier niet, want hij kan geen piekinspanning meer leveren. Volledig verstijfd gaat hij vervolgens zijn dood tegemoet. 

Brenno laat zijn kat Hiero zien. Hiero ziet iets en verstijft en even later verstijft Hiero een tweede keer en is het duidelijk wat hij gaat doen: díe mug gaat het niet overleven. Ook zo kun je verstijven. Maar in de ICT doen we dat niet. De waanzin voor de invoering van de AVG was bijvoorbeeld, in een Italiaanse slagerij: "Pas op, in onze slagerij zouden wij uw naam kunnen vragen en uw vleesvoorkeur kunnen herinneren. Indien u hiermee niet akkoord gaat, gelieve heel hard IK GA NIET AKKOORD te roepen en vanaf vandaag doen we alsof we u niet kennen."  

Dit was de waanzin vlak voor het ingaan van de AVG en hoe er met dit soort problematiek werd omgegaan. We vonden het doodeng. Zelfs de website Music for Cats is tot groot verdriet van Hiero niet te bereiken en hij zal dan ook die muziek moeten missen, dat dan weer tot vreugde van Brenno. 

En nog steeds gaat het door. Vorige week was er bijvoorbeeld dit artikel: de AVG is schadelijk en beperkend, een litanie over hoeveel gedoe het allemaal is om bijvoorbeeld te weten welke data je allemaal hebt. Je krijgt continu te horen: het is allemaal te complex en te lastig. Brenno heeft lang nagedacht waarom dat zo is. Dat komt onder andere doordat we alles hele enge woorden geven, zoals het woordje cyber erbij. Cyberveilig, cyberplatform et cetera. Ironisch zegt Brenno: begin met het voor jezelf simpeler te maken, zoals de woordjes eerst in het klein te schrijven, dan wordt het weer leesbaar. En laten we daarna nog een stapje doen en het woordje cyber gaan schrappen. Oftewel we hebben het dan weer over woorden en grootheden die eenvoudig zijn en al die zeepsop eromheen een beetje vergeten. 

Brenno heeft een aantal prominente datalekken in Nederland naast elkaar gezet. Ze hebben één ding allemaal met elkaar gemeen en dat is: niet updaten. Het simpelweg niet doen. In november 2018 stond het aantal datalekken dat sinds de invoering van de AVG is gemeld nog op 18.000. Het gaat dus structureel verkeerd, we maken dezelfde fouten opnieuw en opnieuw. 

Hij wordt moedeloos als hij hoort: "het mag niet van de AVG". Lees de AVG voor de grap eens. In de AVG staat 70 keer het woordje ‘risico’ (en niet één keer het woord ‘privacy’). Het woordje ‘risico’ is best wel ingewikkeld, maar Brenno is daarin de laatste tijd een stuk pragmatischer geworden en denkt niet meer in risico’s, maar in hoe dingen fout kunnen gaan. Dat blijkt namelijk al ver voordat de ICT een beetje goed en wel op gang was al de methodiek te zijn. Waarbij je je afvraagt: hoe kan het fout gaan en hoe erg is dat? Dat kun je genormeerd een waarde geven. Hoe vaak komt het voor en hoe detecteerbaar is het als het misgaat? Hij vertelt een anekdote over dat hij laatst bij een klant was die zei dat ze datalekken heel goed detecteerden: “Wij hebben Twitter openstaan en dan zien we het vanzelf langskomen als wij een datalek hebben.”

Hij geeft een voorbeeld van een datalek bij een zorgadministratiekantoor in Singapore. Op 23 augustus 2017 raakt het systeem geïnfecteerd. En reeds op 11 juni kregen de systeembeheerders alarm dat er mensen probeerden in te loggen in het zorgsysteem, waar dat niet zou moeten. Die alarmen herhaalden zich de dagen daarna. En op een gegeven moment bleef het alarm rinkelen en elke keer was het heel veel gedoe om dat uit te schakelen. Met op een gegeven moment de melding dat er mensen medische records aan het benaderen waren. Pas op 9 juli werd het management geïnformeerd. Dit is dus precies wat Brenno eerder bedoelde met het narwalgedrag. We raken zo overweldigd en vinden het zo raar dat iemand probeert ten onrechte in te loggen. Dan gaan we een beetje om ons heen lopen kijken in plaats van iets te doen. Het bizarre is dat dit een hele grote casus blijkt te zijn, waarbij ook van ministers van Singapore medische gegevens zijn gestolen. Hierover is een dik rapport geschreven, waarbij de conclusie is dat een beetje basale hygiëne de aanval zou hebben gestopt. Zullen we afspreken met elkaar om de basale hygiëne te doen, om de simpele dingen te doen?  Niets hoogdravends, niets ingewikkelds, want dit is elke keer de bron van ellende.

De digitale hygiëne, de simpele dingen maken het verschil. En dan is dus het AVG-verhaal een niet ingewikkeld AVG-verhaal. Dan weet je wat je in huis hebt en dan weet je welke risico’s je eventueel loopt. En vervolgens eet de toezichthouder uit je hand, want je hebt alles gedocumenteerd. 

Vragen uit het publiek

Vanuit het publiek komt de opmerking dat het soms moeilijk is om duidelijk te maken wat nou precies de schade is van een datalek, voor bijvoorbeeld een bedrijf bij dit soort risico’s.

Brenno de Winter reageert dat het niet makkelijk is om dit in geld uit te drukken. Als het medisch dossier van de premier van Singapore op straat ligt: pijnlijker dan dat wordt het niet. Als je een centraal medisch systeem hebt, waarbij je bij alle data kunt komen. En dit is niet de eerste keer, daarvoor hebben we ook al met het Wannacry virus zoiets gezien in het Verenigd Koninkrijk waar ze ook alle systemen al gecentraliseerd hadden. Eigenlijk betekent dat, dat je dan afscheid hebt genomen van het medisch beroepsgeheim. Als een organisatie niet wil inzien dat de data die zij hebben enige waarde heeft, dan kunnen we elk project of Big Data project gelijk gaan stoppen. En als dat niet wordt geapprecieerd, dan is de enige stok achter de deur nog wettelijke handhaving. 


Jeroen Terstegge – Privacy Management Partners

Aan Jeroen Terstegge is gevraagd om een overzicht te geven van reacties uit het bedrijfsleven. Hij heeft gekeken in zijn eigen klantenkring en sociale media, en geprobeerd om mensen te categoriseren. En die narwal van Brenno de Winter zit er niet tussen, maar dat is eigenlijk categorie nummer elf.

1. Hel-en-verdoemenis prediker
Met stip op nummer 1 staat de ‘hel-en-verdoemenis prediker’. U kent ze wel, ze beginnen elke training, elk verkooppraatje, elke cursus en elke presentatie en nu dus ook met ‘er komen hoge boetes aan’. Twintig miljoen of 4% van je wereldwijde jaaromzet. Het voelt als veel, en veel klanten die om hulp vragen bij de AVG beginnen dus ook met ‘want er komen hoge boetes aan en hoe hoog zijn ze dan voor mij?’ En Jeroen zegt daarop dat voor het zinnetje over de boetes een ander zinnetje staat waarin wordt aangegeven dat de boetes proportioneel moeten zijn. En proportioneel betekent onder andere dat je er niet aan failliet gaat. Die boetes zijn niet bedoeld voor de gemiddelde MKB’er of de gemiddelde voetbalvereniging. Maar toch blijft het een goed verkooppraatje voor de zelfbenoemde AVG-experts, want daar zijn er heel veel van tegenwoordig. Aan de AVG hangt ook de persoonlijke aansprakelijkheid voor bestuurders, waar veelvuldig voor wordt gewaarschuwd. Die AVG-experts hebben waarschijnlijk Jeroen Terstegge horen spreken op het congres van het Nationaal Cyber Security Centrum over datalekken. Waarin hij het uit 1954 stammende ‘IJzerdraadarrest’ van de Hoge Raad heeft genoemd, waaruit volgt dat het mogelijk is dat een boete persoonlijk wordt opgelegd wanneer de leidinggevende persoonlijk heeft leidinggegeven aan de overtreding. Dat is vaststaand recht en dat volgt niet uit de AVG. Maar het is een goed verkooppraatje, waarvoor veel mensen gevoelig lijken te zijn. 

2. De flauwekul verspreiders
Op nummer 2 staan de flauwekul verspreiders. Hij heeft afgelopen 2 jaar het woord ‘flauwekul’ het meest gebruikt op sociale media. Allerlei Twitter-berichten, LinkedIn-berichten die hij leest en waarbij hij zich niet kan inhouden om te zeggen dat wat daarin staat flauwekul is. Zoals dat het gros van de regels in de AVG helemaal niet nieuw is: de eerste dataprotectiewet in Nederland is van 1988, namelijk de Wet Persoonsregistraties en daar stond al bijna hetzelfde in als in de AVG. Dus elke keer als er wordt gezegd dat er een nieuwe wet is en dat je vanaf nu inzage kan vragen, is het flauwekul. Dat inzagerecht is al 30 jaar oud. 

Vanmorgen zette Jeroen het NOS-journaal aan. Van de nieuwslezer van het journaal was bijna iedere zin die zij vanmorgen heeft uitgesproken juridisch onjuist. Inclusief de soundbite die ze hadden gemaakt van Aleid Wolfsen. Hij zal vast een heel goed verhaal hebben gehad daaromheen, maar de soundbite die de redactie van de NOS eruit pikte en liet zien is juridisch onjuist. Zijn broek zakt er van af hoeveel onzin er wordt verspreid over de AVG. Je hoeft helemaal niet overal toestemming voor te vragen, dat staat helemaal niet in de AVG. Sommige dingen zijn wettelijk verplicht, moeten ter uitvoering van een overeenkomst of voor een publieke taak. Zoals Brenno de Winter al zei: de mensen die zeggen “het mag niet van de AVG”, dat zijn de zogenoemde nee-zeggers. En naarmate ze vaker nee zeggen en tegen steeds belangrijkere dingen nee zeggen, gaan andere mensen in de organisatie met een grotere boog om hen heen lopen. Dus je moet ervoor zorgen dat je ‘ja, mits…’ zegt. En dan vervolgens het gesprek aangaat over hoe we dat vervolgens gaan doen. 

3. De ontkenners
De volgenden in het rijtje zijn de directeuren. De gemiddelde directeur die we hebben bij de start van zo’n AVG-workshop bij een AVG-traject. Dan wil Jeroen dat de directeur aan tafel zit en binnen vijf minuten krijgt hij de volgende zin te horen: ‘ik ben de hele dag bezig met risico’s te managen, hoezo is die AVG iets anders’. En dan zijn we vier uur verder en dan is het kwartje hopelijk wel gevallen dat je daar iets mee moet. 

4. De oogklepdragers 
Op de vierde plek staan, met alle respect voor IT’ers, de oogklepdragers. Laten we ophouden met alles een datalek te noemen. Het niet hebben van een verwerkersovereenkomst met de verwerker is geen datalek. Het nadeel van de invoering van het meldpunt datalekken in 2016 is dat de opvatting is ontstaan dat zolang je maar geen datalekken hebt, dat het dan goed is. Wat vervolgens betekende: zolang je maar geen datalek hebt van gegevens die je illegaal verwerkt of die je überhaupt al lang het moeten weggooien. ‘Dat is allemaal niet erg, want we hebben geen datalek’. Dat gedrag zijn we veel tegengekomen in de IT-hoek. 

5. De windowdressers
De ‘windowdressers’. Dat hebben wij met zijn allen 30 jaar lang gedaan, sinds de Wet Persoonsregistraties. Zo hebben we al netjes 30 jaar een privacy statement. Het doorsnee MKB-bedrijf, stichting of vereniging die vraagt om geholpen te worden met de aanpassing van de privacyverklaring en de verwerkersovereenkomsten. Op de opmerking dat ze nog meer verplichtingen hebben vanuit de AVG, zeggen ze dat dat later wel komt. 

6. De visielozen
Heel veel grote organisaties die vragen ‘kun je ons helpen met compliant te worden onder de AVG’. Zodra je daar dan zit, verwachten ze dat je daar je trucje komt doen in zo’n vier maanden en dan weer doorgaat. Op die basis werd Jeroen in 2001 ingehuurd door Philips, om binnen een jaar compliant te worden met de toen net in werking getreden Wet bescherming persoonsgegevens. Hij heeft er 10 jaar gezeten en was toen waarschijnlijk nog niet klaar met het implementeren van de Wbp bij Philips. Je bent namelijk nooit klaar. Het eist dat je als organisatie een visie hebt waar je naartoe gaat. Het eerste wat hij dus deed bij Philips was te kijken naar de visie: ‘hoe willen wij met gegevens omgaan?’ En als je dat aan een gemiddelde directeur vroeg, dan kreeg je 100 verschillende antwoorden, want elke directeur wilde iets anders met zijn eigen departement binnen Philips. Dus je moet intelligent meebewegen met zo’n organisatie, maar je moet ze wel bij de les houden. Waar wil jij naartoe en hoe wil jij daar komen? 

7. De bewust-onbekwamen
Jeroen geeft veel privacy-trainingen en dan vooral de CIPP/E training. En dit is waarschijnlijk wel de nummer 1 vraag: ‘wat is het verschil tussen een verwerker en een verwerkersverantwoordelijke?’ en ‘wanneer moet ik nou een verwerkersovereenkomst met een dienstverlener afsluiten?’ En wanneer hij dat heeft uitgelegd dan gaat er altijd een soort van zucht door de zaal met ‘goh, dan hebben we veel te veel verwerkersovereenkomsten afgesloten’. Er is een enorme kennisachterstand als het gaat om kennis over de AVG. En dan gaan we elkaar met zijn allen in de weg zitten. 

8. De activisten
De mensen die zeggen ‘het moet allemaal anders’, en dat is prima, en de activisten hebben ook hun rol. Maar je moet dan niet opeens allemaal dingen in de AVG gaan lezen die er niet in staan. Persoonsgegevens zijn niet uw eigendom, het staat ook nergens in de AVG dat dat zo is. En u hebt helemaal niet altijd het recht om vergeten te worden. Sterker nog: als een organisatie 100% compliant is met de AVG dan kan een verzoek om verwijderd te worden, altijd worden afgewezen. We zitten alleen nog op 30 jaar achterstallig huiswerk en dus op bergen data die er allang niet meer horen te zijn. Dus dan gaan we ook veel geslaagde verwijderingsverzoeken zien. 

9. De geloofwaardigen
Iedereen die dit vak al een tijdje doet is gegaan van privacy compliance naar data ethics. Je kan dit vak niet doen als je het niet vanuit een morele overtuiging doet. Als je het alleen vanuit compliance doet, dan gaat het hopeloos mis. Jeroen Terstegge

10. De evangelisten
Dat zijn de mensen die schreeuwen van de daken hoe het nou eigenlijk moet. De beste evangelist die hij kent op dit gebied is Michelle Dennedy die Chief Privacy Officer is van Cisco. Die weet als geen ander uit te leggen waar dit vak nou eigenlijk over gaat. “Data Privacy is telling a story about a person with integrity and respect.” Het is niet dat je de gegevens niet verwerkt. Als je persoonsgegevens mag hebben, dan moet je ze alleen fatsoenlijk verwerken. Dat staat ook gewoon in de eerste zin van artikel 5 van de AVG. Het allerbelangrijkste artikel van de AVG is artikel 5, niet artikel 6 waar juristen altijd naar gluren. Je kan geen toestemming vragen voor iets wat unfair is. Je kan geen toestemming vragen voor iets wat disproportioneel is. Je kan geen toestemming vragen voor iets dat onrechtmatig is. Artikel 5 is het belangrijkste en dat gaat precies over wat Michelle zegt. “Telling a story about a person with integrity and respect”. Jeroen hoopt dat u dat ook gaat doen, want als u alleen compliance doet dan bent u over tien jaar nog niet klaar met het implementeren van de AVG.

Bekijk de hele presentatie van Jeroen Terstegge (pdf).

 

Nederlandse Privacy Awards

De middag werd vervolgens afgesloten met de uitreiking van de Nederlandse Privacy Awards. Deze Awards bieden een podium aan bedrijven en overheden die privacy zien als een kans om zich positief te onderscheiden en privacyvriendelijk ondernemen en innoveren tot norm te maken. De winnaars van de Nederlandse Privacy Awards 2019 zijn... Startpage.com en Privacy Company i.s.m. SURF ! Daarnaast ontving PublicSpaces de Aanmoedigingsprijs.


Winnaars Nederlandse Privacy Awards 2019


Winnaar: Startpage.com

Met Private Search 2.0 biedt Startpage.com een plaats waar iedereen die profilering en targeting op basis van online zoekopdrachten als verstikkend ervaart, weer wat vrijer kan ademhalen. De belofte van Startpage.com is dat hun gebruikers Google Search kunnen laten bevragen zonder te hoeven vrezen dat elke zoekopdracht wordt toegevoegd aan een permanente dataschaduw bij Google. Bovendien kunnen de zoekresultaten bij Startpage.com via een anonimiserende proxy worden bezocht. Daarmee vervult Startpage.com een behoefte bij iedereen die weleens wil zoeken naar informatie zonder vervolgens geconfronteerd te worden met gerichte advertenties daarover. Denk aan wie zoekt naar informatie over hulp bij een financieel probleem, een relatieprobleem of een gezondheidsprobleem. En natuurlijk aan wie zich überhaupt liever ‘by default’ afschermt van buitenlandse data-handelaren (Silicon Valley cum suis). De nieuwe Startpage.com website biedt mensen daarmee een belangrijke, en bovendien zeer gebruiksvriendelijke mogelijkheid om websites te bekijken zonder zich voortdurend zorgen te hoeven maken over ongewenste profilering en toekomstige confrontatie met hun zoekgedrag.

Winnaar: Privacy Designer (Privacy Company en SURF)

Privacy Designer is een webapp van Privacy Company en SURF voor het MKB, verenigingen en NGO’s, dat hen helpt privacy risico’s te inventariseren. De app is medegefinancierd door het SIDN Fonds en kan vrij van kosten worden gebruikt.

De jury van de Awards was zeer onder de indruk van deze oplossing. Het is handig in gebruik, vernieuwend, en de maatschappelijke impact is groot omdat we uit onderzoek weten dat de doelgroep vaak niet of matig op de hoogte is van de privacy risico’s die zij lopen en hoe daar goed mee om te gaan. Dat alle gegevens bovendien op het eigen toestel worden opgeslagen en er minimaal gebruik wordt gemaakt van persoonsgegevens is een pré. Kortom, deze inzending heeft de potentie om op een zeer laagdrempelige maar effectieve manier de privacy voor een grote groep mensen te verbeteren.

Winnaar: PublicSpaces

Op het internet gebeurt van alles wat we niet zien of merken (vooral reclame op basis van zoekgedrag levert ons veel irritatie op). Ondertussen worden we steeds afhankelijker van navigatie, de cloud-opslag van onze documenten en het zoeken naar informatie. Het lijkt erop dat hiermee vooral een paar dominante commerciële bedrijven er steeds beter van worden. 

PublicSpaces is een coalitie van publieke omroepen en culturele instellingen, die van het internet weer een community van gebruikers willen maken. Zij willen met een aantal belanghebbende partijen het internet gaan repareren door het heel concreet aanbieden van een paar alternatieven. Vooral het overerven van data over verschillende platforms is hen een doorn in het oog. Met open source initiatieven, maar ook de inzet van onze vorige winnaar IRMA willen zij een bijdrage leveren aan de publieke waarde van privacy op het internet. De jury moedigt de missie van PublicSpaces van harte aan!


Klik HIER voor het hele juryrapport (pdf) met deelnamecriteria en toelichting bij alle genomineerden en de winnaars.

De jury van de Nederlandse Privacy Awards 2019 bestond uit onafhankelijke privacy-experts uit diverse sectoren:

  • Bart van der Sloot, senior researcher, Universiteit Tilburg (jury-voorzitter)
  • Bas Filippini, oprichter en voorzitter Privacy First
  • Paul Korremans, data protection & security professional, Comfort Information Architects (tevens bestuurslid Privacy First)
  • Marie-José Bonthuis, eigenaar IT’s Privacy
  • Esther Janssen, advocaat Informatierecht en grondrechten, bureau Brandeis
  • Esther Keymolen, techniekfilosoof, TILT, Universiteit Tilburg
  • Matthijs Koot, senior security specialist, Secura BV
  • Marc van Lieshout, senior onderzoeker TNO en zakelijk directeur PI.lab
  • Wendeline Sjouwerman, privacy specialist lokale overheden en zorg.


Na afloop van het congres kreeg iedere aanwezige een exemplaar van het nieuwe Blauwe Boekje van Jaap-Henk Hoepman over privacy by design mee. Klik HIER voor de digitale versie.

Deze editie van de Nationale Privacy Conferentie & Awards was een groot succes. Dit vraagt om een vervolg en de plannen voor 2020 zijn in de maak!

 FG7A4979m

Gepubliceerd in Evenementen

Vanmiddag vindt in de Tweede Kamer een belangrijk debat plaats over de invoering van Passenger Name Records (PNR): massale, jarenlange opslag van allerlei gegevens van vliegtuigpassagiers ter veronderstelde bestrijding van misdaad en terrorisme. Privacy First heeft hier grote bezwaren tegen en stuurde eind vorige week onderstaande brief naar de Tweede Kamer. Het Kamerdebat vanmiddag stond eerder geagendeerd op 14 mei 2018, maar werd toen (na een vergelijkbare brief van Privacy First) tot nader order geannuleerd. Na een nieuwe schriftelijke vragenronde vindt het debat nu alsnog plaats. Hieronder volgt de volledige tekst van onze actuele brief:


Geachte Kamerleden,

Maandagmiddag 11 maart as. debatteert u met minister Grapperhaus (Justitie en Veiligheid) over de Nederlandse implementatie van de Europese richtlijn inzake Passenger Name Records (PNR). Zowel de Europese PNR-richtlijn als de beoogde Nederlandse implementatiewet zijn in de optiek van Privacy First juridisch onhoudbaar. Hieronder zetten wij dit kort voor u uiteen.

Vakantieregister

In het PNR-wetsvoorstel van de minister zullen talloze gegevens van alle vliegtuigpassagiers met vertrek of aankomst in Nederland 5 jaar lang in een centrale overheidsdatabank bij de nieuwe Passenger Information Unit worden bewaard en gebruikt ter voorkoming, opsporing, onderzoek en vervolging van misdrijven en terrorisme. Gevoelige persoonsgegevens (waaronder naam- en adresgegevens, telefoonnummers, emailadressen, geboortedata, reisdata, ID-documentnummers, bestemmingen, medepassagiers en betaalgegevens) van vele miljoenen passagiers zullen daardoor jarenlang beschikbaar zijn t.b.v. datamining en profiling. In wezen wordt iedere vliegtuigpassagier hierdoor behandeld als potentiële crimineel of terrorist. In 99,99% van de gevallen betreft het echter volstrekt onschuldige burgers, voornamelijk vakantiegangers en zakenreizigers. Dit vormt een flagrante schending van hun recht op privacy en vrijheid van beweging. Vorig jaar heeft Privacy First dit reeds betoogd in de Volkskrant en bij BNR Nieuwsradio. Wegens privacybezwaren bestond er de laatste jaren veel politieke weerstand tegen dergelijke massale PNR-opslag en werd dit sinds 2010 diverse malen verworpen door zowel de Nederlandse Tweede Kamer als het Europees Parlement. In 2015 waren ook de Nederlandse regeringspartijen VVD en PvdA nog mordicus tegen. VVD en PvdA spraken destijds van een "vakantieregister" en dreigden zélf naar het Europees Hof van Justitie te stappen als de Europese PNR-richtlijn zou worden aangenomen. Na de aanslagen in Parijs en Brussel leken veel politieke bezwaren echter als sneeuw voor de zon verdwenen en werd de PNR-richtlijn in 2016 alsnog een feit. Tot op heden is de juridisch vereiste maatschappelijke noodzaak en proportionaliteit van deze richtlijn echter nog steeds niet aangetoond.

Europees Hof

In de zomer van 2017 deed het Europees Hof van Justitie een belangrijke uitspraak over het vergelijkbare PNR-verdrag tussen de EU en Canada. Het Hof verklaarde dit verdrag ongeldig wegens strijd met het recht op privacy. Het Hof stelde hierbij onder meer dat “gegevens van een luchtreiziger na diens vertrek slechts mogen worden bewaard indien op grond van objectieve criteria kan worden aangenomen dat deze luchtreiziger een risico kan vormen in het kader van de strijd tegen terrorisme en ernstige grensoverschrijdende criminaliteit.” (Zie Advies 1/15 (26 juli 2017), par. 207.) Door deze uitspraak staat sindsdien de Europese PNR-richtlijn juridisch op losse schroeven. De Nederlandse regering heeft daarom terechte “zorgen over de toekomstbestendigheid van de PNR-richtlijn” (zie Nota naar aanleiding van verslag, p. 23). Privacy First verwacht dat de huidige PNR-richtlijn binnenkort ter toetsing aan het Europees Hof van Justitie zal worden voorgelegd en onrechtmatig zal worden verklaard. Daarna zal dezelfde situatie ontstaan als enkele jaren geleden bij de Europese telecom-bewaarplicht: zodra deze Europese richtlijn ongeldig is verklaard, zal de Nederlandse implementatiewetgeving in kort geding buiten werking worden gesteld.

Massa surveillance

Het huidige Nederlandse PNR-wetsvoorstel lijkt bij voorbaat onrechtmatig wegens gebrek aan aantoonbare noodzaak, proportionaliteit en subsidiariteit. Het wetsvoorstel komt neer op massa-surveillance van grotendeels onschuldige burgers; reeds in de Tele2-zaak (2016) verklaarde het Europees Hof dit type wetgeving illegaal. Bij de VN Mensenrechtenraad deed Nederland vervolgens de algemene toezegging “to ensure that the collection and maintenance of data for criminal [investigation] purposes does not entail massive surveillance of innocent persons.” Nederland lijkt die belofte nu te verbreken. Bij iedere passagier worden immers talloze volstrekt overbodige data opgeslagen die jarenlang door allerlei Nederlandse, Europese en zelfs niet-Europese overheidsinstanties kunnen worden gebruikt. Bovendien is de effectiviteit van PNR tot op heden nooit aangetoond, aldus ook de minister zelf: “statistische onderbouwing is niet voorhanden” (zie Nota naar aanleiding van verslag, p. 8). Het risico op onterechte verdenkingen en discriminatie (door feilbare algoritmes bij profiling) is bij het voorgestelde PNR-systeem levensgroot, wat tevens de kans op vertragingen en gemiste vluchten bij onschuldige passagiers verhoogt. Tegelijkertijd zullen gezochte personen vaak onder de radar blijven en alternatieve reisroutes kiezen. Verder wordt in het wetsvoorstel met geen woord gerept over de rol en mogelijkheden van geheime diensten, terwijl die onder de nieuwe Wet op de inlichtingen- en veiligheidsdiensten directe, afgeschermde toegang tot de centrale PNR-databank zullen krijgen. Meest kwalijke aspect aan het Nederlandse PNR-wetsvoorstel is echter dat dit twee stappen verder gaat dan de PNR-richtlijn zelf: Nederland kiest er immers zélf voor om ook de data van passagiers op alle intra-EU vluchten op te slaan. Onder de PNR-richtlijn is dit niet verplicht, en had Nederland dit bovendien kunnen beperken tot louter vooraf geselecteerde (risico)vluchten. Dit zou in lijn geweest zijn met het advies van de meeste experts op dit terrein: targeted i.p.v. mass surveillance, zo gericht mogelijk, oftewel louter gericht op die personen waarop een redelijke verdenking rust, conform de principes van onze democratische rechtsstaat.

Advies Privacy First

Privacy First adviseert u hierbij met klem om het huidige wetsvoorstel te verwerpen en dit desgewenst te vervangen door een privacyvriendelijke versie. Mocht dit ertoe leiden dat Nederland door de Europese Commissie voor het EU Hof van Justitie zal worden gedaagd wegens gebrek aan implementatie van de huidige Europese PNR-richtlijn, dan verwacht Privacy First dat Nederland deze zaak glansrijk zal winnen. Van EU-lidstaten mag immers niet worden verwacht dat zij privacyschendende EU-regels implementeren. Dit geldt eveneens voor de nationale implementatie van relevante resoluties van de VN Veiligheidsraad (in casu UNSC Res. 2396 (2017)) die op gespannen voet staan met internationale mensenrechten. Privacy First heeft in dit verband reeds gewaarschuwd voor misbruik van het Nederlandse (ook voor PNR gebruikte) TRIP-systeem door andere VN-lidstaten. Nederland heeft hierin een eigen grondwettelijke en internationaalrechtelijke verantwoordelijkheid.

Voor nadere informatie of vragen met betrekking tot bovenstaande is Privacy First te allen tijde bereikbaar op telefoonnummer 020-8100279 of per email: Dit e-mailadres wordt beveiligd tegen spambots. JavaScript dient ingeschakeld te zijn om het te bekijken..

Hoogachtend,

Stichting Privacy First


Update 19 maart 2019: vandaag heeft de Tweede Kamer het wetsvoorstel helaas vrijwel ongewijzigd aangenomen; slechts GroenLinks, SP, PvdD en Denk stemden tegen. Een principiële motie van GroenLinks en SP om een rechtszaak van de Europese Commissie tegen de Nederlandse regering over de Europese PNR-richtlijn uit te lokken werd helaas verworpen. Enig lichtpuntje is de breed aangenomen motie ter juridische herbeoordeling en mogelijke herziening van de PNR-richtlijn op Europees politiek niveau. (Slechts PVV en FvD stemden tegen deze motie.) Volgende halte: Eerste Kamer.

Update 4 juni 2019: ondanks recente herhaling van bovenstaande brief en overige kritische input van Privacy First heeft de Eerste Kamer het wetsvoorstel vandaag helaas aangenomen. Slechts GroenLinks, Partij voor de Dieren en SP stemden tegen. Dit ook ondanks de onlangs in Duitsland (bij het vergelijkbare Duitse PNR-systeem) gebleken enorme foutenpercentages (“false positives”) van maar liefst 99,7%, zie https://www.sueddeutsche.de/digital/fluggastdaten-bka-falschtreffer-1.4419760. In Duitsland en Oostenrijk zijn inmiddels grootschalige rechtszaken gestart om de Europese PNR-richtlijn door het Europees Hof van Justitie onrechtmatig te laten verklaren wegens strijd met het recht op privacy, zie de Duits-Engelse campagnewebsite https://nopnr.eu en https://www.nrc.nl/nieuws/2019/05/15/burgers-in-verzet-tegen-opslaan-passagiersgegevens-a3960431. Zodra het Europees Hof de PNR-richtlijn in deze zaken onrechtmatig verklaart, zal Privacy First de Nederlandse PNR-wet in kort geding buiten werking laten stellen. Tevens heeft Privacy First gisteren Nederlandse PNR-wet geagendeerd bij het VN Mensenrechtencomité in Genève. Op 1-2 juli as. zal de algehele Nederlandse mensenrechtensituatie (inclusief Nederlandse schendingen van het recht op privacy) door dit Comité kritisch onder de loep genomen worden.

Gepubliceerd in Wetgeving

Hof Amsterdam wijst nieuwe zaak tegen kentekenparkeren desondanks af. Privacy First bezint zich op vervolgstappen.

In het hoger beroep van de voorzitter van Privacy First tegen kentekenparkeren heeft het Hof Amsterdam het helaas niet aangedurfd om kentekenparkeren en het gebrek aan contante (anonieme) betaalmogelijkheid onrechtmatig te verklaren, zo bleek eind vorige week (pdf). Weliswaar onderkent het Hof expliciet “het belang van handhaving van de mogelijkheid om contant te betalen” en verwijst het Hof daarbij ook naar instanties zoals de Nederlandsche Bank (DNB) die dit belang eveneens onderschrijven. Tegelijkertijd stelt het Hof echter dat de huidige wetgeving de (gemeentelijke) overheid niet zou verplichten om contante of anonieme betaling van parkeerbelasting mogelijk te maken. Het Hof verwijst hierbij o.a. naar een verouderde uitspraak van de Hoge Raad uit 2005 en naar oude, summiere Europese wetgeving. Het Hof Amsterdam oordeelt tevens dat het verouderde (nationale) Besluit gemeentelijke parkeerbelastingen (2001) geen recht op een anoniem betaalmiddel impliceert. Niettemin suggereert het Hof dat anonieme betaling mogelijk zou zijn middels een ongeregistreerde prepaid creditcard. Privacy First acht dit oordeel (inclusief laatstgenoemde suggestie) van het Hof Amsterdam onjuist en overweegt juridische vervolgstappen richting zowel de Hoge Raad als het Europees Hof van Justitie. Privacy First voelt zich hierbij gesterkt door de actuele maatschappelijke discussie en recente politieke oproepen om contant geld te handhaven en contante betalingsmogelijkheden te verbeteren, met name ook bij lokale overheden. Onlangs nam de Tweede Kamer hier unaniem een motie over aan. Verdere parlementaire moties en mogelijke wetswijzigingen ter behoud en versterking van contant geld liggen in het verschiet.

Gebrekkig oordeel Hof Amsterdam over rechtmatigheid van kentekenparkeren

Over de rechtmatigheid van (het systeem van) kentekenparkeren oordeelt het Hof Amsterdam niet eenduidig: eerst oordeelt het Hof dat kentekenparkeren als zodanig een “niet-verboden inmenging” in het recht op privacy vormt, waarmee het Hof dus enerzijds erkent dat sprake is van een inmenging (inbreuk), maar dat deze niet verboden zou zijn. Vervolgens overweegt het Hof echter dat überhaupt geen sprake zou zijn van een inmenging, om vervolgens alsnog “hypothetisch” te oordelen dat de betreffende inmenging gerechtvaardigd zou zijn en dus geen schending (ongerechtvaardigde inbreuk) op het recht op privacy zou vormen. Privacy First acht deze argumentatie onbegrijpelijk en vooral ook onjuist. Het Hof toetst bovendien nauwelijks (en foutief) aan noodzaak, proportionaliteit en subsidiariteit, terwijl deze hele zaak daar nu juist om draait. Daarnaast laat het Hof talloze ingebrachte bezwaren tegen kentekenparkeren onbenoemd, waaronder het gebrek aan een specifieke, met privacywaarborgen omgeven rechtsbasis voor kentekenparkeren in nationale wetgeving, het feit dat parkeerdata voor andere doelen wordt gebruikt en kan worden misbruikt (function creep), het feit dat "efficiency" geen juridische rechtvaardiging kan vormen voor inperking van het recht op privacy, etc.

Invoering van kenteken bij parkeren blijft vrijwillig

In deze zaak staat een aantal nieuwe principiële rechtsvragen rond kentekenparkeren en het recht op contante betaling centraal. Door de huidige uitspraak van het Hof Amsterdam blijven dan ook de eerdere (door de Hoge Raad bevestigde) uitspraken dat invoering van het kenteken bij parkeren niet verplicht is, onaangetast. Kentekenparkeren is en blijft daarmee dus vrijwillig: een eventuele parkeerboete bij niet-invoering van een kenteken dient in bezwaar en beroep te worden vernietigd, mits de parkeerder kan aantonen dat voor het parkeren betaald is.

Recht op anonimiteit in openbare ruimte

Privacy First voert deze zaak ter behoud en versterking van het recht op anonimiteit in de openbare ruimte. Dit recht staat de laatste jaren in toenemende mate onder druk en dreigt inmiddels illusoir te worden. Indien nodig zal Privacy First deze zaak daarom voortzetten tot aan het Europees Hof voor de Rechten van de Mens in Straatsburg.


Lees HIER de hele uitspraak van het Hof Amsterdam d.d. 5 februari jl. in geanonimiseerde pdf (op 8 februari jl. door Privacy First ontvangen).

Update 3 maart 2019: de uitspraak van het Hof is inmiddels ook gepubliceerd op rechtspraak.nl. Privacy First beraadt zich nog op mogelijke vervolgstappen.

Update 2 mei 2019: vandaag heeft de voorzitter van Privacy First beroep in cassatie ingesteld bij de Hoge Raad.

Gepubliceerd in Kentekenparkeren
Pagina 1 van 16

Onze Partners

logo Voys Privacyfirst
logo greenhost
logo platfrm
logo AKBA
logo boekx
logo brandeis
 
banner ned 1024px1
logo demomedia
 
 
 
 
 
Pro Bono Connect logo 100
IIR banner

Volg ons via Twitter

twitter icon

Volg onze RSS-feed

rss icon

Volg ons op LinkedIn

linked in icon

Volg ons op Facebook

facebook icon