donatieknop english
donderdag, 30 maart 2017 14:05

Concept-dagvaarding tegen Sleepwet

Coalitie waarschuwt Eerste Kamer voor nieuwe Wet op Inlichtingen- en Veiligheidsdiensten

Op initiatief van Privacy First heeft een coalitie van maatschappelijke organisaties vandaag de Eerste Kamer gewaarschuwd: als de nieuwe Wet op de Inlichtingen- en Veiligheidsdiensten (Wiv of 'Sleepwet') ongewijzigd wordt aangenomen, betekent dit een massale schending van het recht op privacy en andere fundamentele burgerrechten. Mocht de Senaat het huidige wetsvoorstel desondanks goedkeuren, dan volgt een rechtszaak tegen de Nederlandse Staat. Onder leiding van Boekx Advocaten heeft de coalitie daartoe vandaag een concept-dagvaarding (pdf) bij de Eerste Kamer ingediend. Naast Privacy First bestaat de kopgroep van NGO's vooralsnog uit de Nederlandse Vereniging van Journalisten (NVJ), de Nederlandse Vereniging van Strafrechtadvocaten (NVSA) en het Platform Bescherming Burgerrechten.

Fundamentele bezwaren

In onze uitgebreide concept-dagvaarding wordt uiteengezet welke fundamentele bezwaren de aangesloten organisaties hebben tegen de bevoegdheden die de diensten zullen krijgen met het nieuwe wetsvoorstel. Als de Wiv ongewijzigd door de Eerste Kamer wordt aangenomen, zal die wet een schending inhouden van het recht op privacy, het recht op vrijheid van meningsuiting en als onderdeel daarvan het recht op vertrouwelijke communicatie, het recht op een eerlijk proces en het recht op effectieve rechtsbescherming. De Grondwet schrijft voor dat de Wiv buiten toepassing moet blijven wanneer deze wet in strijd is met internationale verdragen, zoals het Europees Verdrag voor de Rechten van de Mens en het EU Handvest van de Grondrechten. Tenminste zeven onderdelen van het wetsvoorstel voor de Wiv schenden die verdragen:

1) de bevoegdheid tot bulkinterceptie ("sleepnet");

2) de regeling van bronbescherming;

3) de bevoegdheid tot het hacken van derden;

4) de bevoegdheid om derden te dwingen om aan ontsleuteling mee te werken;

5) de regeling van de notificatieplicht;

6) de regeling over samenwerking met buitenlandse inlichtingen- en veiligheidsdiensten; en

7) de inrichting van het toezicht.

Dovemansoren

De bezwaren van de coalitie tegen het wetsvoorstel zijn eerder uitvoerig ter kennis van het kabinet en de Tweede Kamer gebracht. Vergelijkbare kritiek is eveneens geuit door o.a. de Raad van State, de Raad voor de Rechtspraak, het College voor de Rechten van de Mens, de Autoriteit Persoonsgegevens, de Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten (CTIVD) en 29 vooraanstaande wetenschappers. Tot nu toe echter tevergeefs. De brede maatschappelijke bezwaren lijken aan dovemansoren gericht. De coalitie heeft daarom besloten om de kritiek op het wetsvoorstel te verwoorden in een dagvaarding, om daarmee zo helder mogelijk te laten zien welke juridische bezwaren er zijn tegen de nieuwe bevoegdheden die de inlichtingen- en veiligheidsdiensten krijgen. De kritiek is gebaseerd op rechtspraak van de hoogste Europese rechters, die de afgelopen jaren meerdere strenge vonnissen hebben uitgevaardigd over wetgeving met betrekking tot geheime diensten.

De coalitie hoopt dat de Eerste Kamer het huidige wetsvoorstel zal verwerpen en dat het niet nodig zal zijn de aangenomen wet aan de rechter voor te leggen.

Oproep

De huidige concept-dagvaarding kan nog worden aangevuld. Privacy First roept alle maatschappelijke organisaties en relevante bedrijven op om zich bij de coalitie aan te sluiten. Daartoe kan contact worden opgenomen met het Public Interest Litigation Project (PILP, t.a.v. Jelle Klaas) in Amsterdam.

Klik HIER voor de gehele concept-dagvaarding (pdf, 51 pp).

Lees ook Netkwesties.nl, 15 februari 2017: 'Rechtszaak dreigt tegen breed aangenomen WIV'.
Villamedia, 31 maart 2017: 'Mogelijke rechtsgang om sleepnetwet Wiv'.

Lees HIER het eerdere commentaar van Privacy First bij het huidige wetsvoorstel.

Gepubliceerd in Rechtszaken

Door Esther Gruppen, medewerker politieke research & monitoring bij Stichting Privacy First

Als het om privacy gaat rammelt het in de verkiezingsprogramma’s. De meerderheid van de partijen besteedt er weliswaar aandacht aan, maar het CDA, de SGP, de PVV en 50+ blijven ver achter, schrijft Esther Gruppen van Privacy First in een analyse van de verkiezingsprogramma’s.

Onder de noemer van terrorismebestrijding en veiligheid worden wij burgers steeds meer begluurd, bespied en besnuffeld. Een voorbeeld hiervan is het sleepnet waarbij internetverkeer massaal wordt afgetapt door veiligheidsdiensten ten koste van onze privacy. Massale verzameling van onze persoonsgegevens is sowieso nooit veilig. Dit bleek bijvoorbeeld toen de Belastingdienst onlangs op de vingers werd getikt door de Autoriteit Persoonsgegevens. Door een beveiligingslek zijn mogelijk de gegevens van miljoenen belastingbetalers in verkeerde handen gekomen. Met de verkiezingen in het vooruitzicht leek het ons goed om hetzelfde te doen als de overheid bij ons als burgers doet, namelijk ze eens goed doorlichten. Om die reden is Privacy First de verkiezingsprogramma’s gaan screenen met de vraag: zijn politieke partijen zich voldoende bewust van privacy? Een analyse van de verschillende verkiezingsprogramma’s geeft een goed beeld van dit burgerrecht: van veelbelovend tot schokkend.

Privacy First is vooral enthousiast over de verkiezingsprogramma’s van GroenLinks en D66, maar de Partij voor de Dieren en de Piratenpartij doen het ook goed. Deze partijen zien de kansen en voordelen van innovatie en technologische vooruitgang, maar erkennen ook de uitdagingen die hiermee gepaard gaan, bijvoorbeeld bij de inzet van Big Data en de risico’s van profiling. GroenLinks draagt verreweg de meeste privacy-onderwerpen aan. Bijvoorbeeld het plaatsen van taps in Nederland, wat hier aanzienlijk vaker gebeurt dan in omringende landen. Dit is onnodig en moet veranderen, aldus GroenLinks. Inlichtingen- en veiligheidsdiensten mogen niet langer taps plaatsen zonder tussenkomst van de rechter. De Partij voor de Dieren is het hiermee eens en zegt dat gegevens alleen mogen worden opgevraagd indien er sprake is van een concrete verdenking die door de rechter is getoetst. GroenLinks benadrukt ook dat de communicatie van journalisten en de communicatie tussen advocaat en cliënt niet mag worden afgeluisterd. Beiden zijn immers essentieel voor de persvrijheid en een functionerende rechtsstaat.

D66 doet niet veel onder voor GroenLinks en wil dat Nederland koploper wordt met de beste digitale infrastructuur, waarbij een open, vrij en veilig internet essentieel is. Daarnaast wil D66 betere randvoorwaarden voor het gebruik van drones. Drones kunnen tegenwoordig door particulieren, de overheid en het bedrijfsleven gebruikt worden voor verschillende doeleinden, maar mag dit allemaal zomaar? Mogen filmopnamen die gemaakt zijn door een drone in uw privé-omgeving überhaupt gemaakt worden zonder uw toestemming? Het is belangrijk dat de Tweede Kamer hier kritisch naar kijkt.

De Piratenpartij voegt hieraan toe dat we niet overal gefilmd mogen worden. Zij wil daarom dat we paal en perk stellen aan cameratoezicht. Daarnaast is deze partij voorstander van de mogelijkheid om anoniem te kunnen betalen en reizen. Zo mag een eenmalige OV-chipkaart niet duurder zijn dan een persoonlijke OV-chipkaart en is de Piratenpartij tegen automatische nummerplaatherkenning (ANPR), RFID-chips in kentekens en kilometerheffing. Interessant detail is dat de Piratenpartij voorstander is van asielverlening aan Edward Snowden.

Ook de SP, ChristenUnie en de PvdA maken zich sterk voor privacy. Vooral de ChristenUnie zet een duidelijk verhaal neer over de risico’s van technologische vooruitgang. Ze vraagt zich bijvoorbeeld af of iemand nog wel onschuldig is tot het tegendeel is bewezen, als iemand vaker geconfronteerd wordt met aanhoudingen en controles omdat deze persoon in een bepaald risicoprofiel valt. Ook de SP stelt voorop dat niemand bij voorbaat verdacht is. Daarom is ze tegen het Sleepnet dat desastreus is voor onze privacy. Privacy First ziet echter dat de SP zichzelf tegenspreekt. De SP is namelijk tegelijkertijd voorstander van betere informatie-uitwisseling over potentiële terroristen tussen geheime diensten in de EU en VS. Belangrijke randvoorwaarden hiervoor ontbreken. Zonder deze voorwaarden komen fundamentele rechten zoals het recht op privacy onder druk te staan.

Privacy komt er bij de PVV en het CDA slecht vanaf. Het wordt bij de PVV niet genoemd en bij het CDA slechts één keer. In de verkiezingsprogramma’s van VVD en SGP benoemen deze partijen het wel, maar zij hebben dramatische voorstellen over privacy. Zij stellen veiligheid namelijk structureel boven privacy. Ook verontrustend is een voorstel bij 50+: zij willen graag de invoering van een digitaal paspoort waardoor anoniem internetten niet meer mogelijk is. Het CDA, de SGP, de VVD, 50+ en de PVV moeten een voorbeeld nemen aan de partijen die het wél goed doen. Bijvoorbeeld aan de Piratenpartij, die overigens alle politieke partijen uitnodigt om hun standpunten te kopiëren, over te nemen, of anderszins te verspreiden. Deze uitnodiging dan maar ter harte nemen als het privacy betreft?


Lees HIER onze volledige analyse over privacy in de verkiezingsprogramma's 2017 (pdf, 33 pp).  

Gepubliceerd in Wetgeving

"De Belastingdienst mag data over leaserijders, afkomstig van politiecamera's, niet langer gebruiken voor boetes, aldus de Hoge Raad.

Minimaal drie miljard kentekenfoto's ontvangt de Belastingdienst jaarlijks van voertuigen op de Nederlandse wegen, maar die zijn sinds vrijdag grotendeels waardeloos. De beelden worden rechtstreeks doorgestuurd vanuit honderden kentekencamera's van de politie. Een ideaal middel om de routes van een kwart miljoen automobilisten te volgen die bij de Belastingdienst hebben gemeld dat ze hun zakelijke auto niet privé gebruiken. Maar ook een grove inbreuk op de privacy, waarvoor geen toereikende wettelijke grondslag bestaat, zo oordeelde vrijdag de Hoge Raad.

U verklaart als leaserijder minder dan 500 kilometer per jaar privé te hebben gereden, maar de camera's signaleerden uw auto op plaatsen die niet overeenkomen met uw rittenadministratie? Dan was u tot nu toe mogelijk de klos, op basis van de kentekenfoto's. Deze praktijk moet nu stoppen, zo luidt het vonnis.

Drie leaserijders hadden bezwaar gemaakt tegen naheffingen die hun op basis van de kentekenbeelden waren opgelegd. Ze vinden de systematische controle van hun reisbewegingen een schending van hun privacy. Daarin geeft de Hoge Raad hen gelijk. „Het gaat hier namelijk niet om één of enkele waarnemingen in de openbare ruimte, maar om het systematisch verzamelen, vastleggen, bewerken en jarenlang bewaren van gegevens over de bewegingen van voertuigen op diverse plaatsen in Nederland", aldus de Raad in een persbericht.

In zo'n geval is volgens Europees recht een precieze wettelijke grondslag vereist en die ontbreekt in Nederland. Daarvoor zal een nieuwe wet moeten worden opgesteld waarin wordt beargumenteerd waarom de inbreuk op de privacy noodzakelijk is. Dat kan jaren duren, als zo'n wet er ooit komt.

Betekent dit nu dat al die leaserijders die op basis van kentekenbeelden een naheffing kregen opgelegd geld kunnen terugvorderen? „Nee", zegt fiscaal jurist Clemens Meerts, die twee van de drie leaserijders bijstaat die bezwaar aantekenden. „De naheffingen van mensen die geen bezwaar maakten, hebben formele rechtskracht gekregen. Daar valt niets meer aan te doen."

Dat wordt bevestigd door een woordvoerder van de Belastingdienst. Die laat weten dat de fiscus op zoek gaat naar andere manieren om automobilisten op grote schaal in de gaten te houden. Ook zegt de woordvoerder dat de fiscus meerdere mogelijkheden heeft om leaserijders te controleren. „Bijvoorbeeld met locatiegegevens op basis van boetes door het Centraal Justitieel Incassobureau."

De Belastingdienst gebruikt de miljarden kentekenbeelden ook om te kijken welke geschorste voertuigen toch nog rondrijden en om mensen met belastingschulden op te sporen. Het is zeer de vraag of de beelden daarvoor nog wel mogen worden gebruikt. Nieuwe rechtszaken zouden daar ook een einde aan kunnen maken.

De organisatie voor privacybescherming Privacy First is blij met de uitspraak van de Hoge Raad. Privacy First voert rechtszaken tegen trajectcontroles waarmee snelheidsovertredingen worden gemeten. „Bij trajectcontroles worden de reisbewegingen van alle automobilisten geregistreerd en bewaard in politiedatabanken. Hiervoor bestaat evenmin een specifieke wettelijke basis, zoals door de Hoge Raad vereist", stelt directeur Vincent Böhre. Hij hoopt met de uitspraak van vrijdag ook de trajectcontroles uit te bannen."

Bron: NRC Handelsblad, zaterdag 25 februari 2017, rubriek Economie, p. 10. Tevens online beschikbaar op https://www.nrc.nl/nieuws/2017/02/24/fiscus-mag-geen-kentekens-verzamelen-6971403-a1547618.

Gepubliceerd in Privacy First in de media

"Hoge Raad verbiedt inzet snelwegcamera's

De Belastingdienst mag het autogebruik van leaserijders niet controleren met behulp van camera's langs de snelweg. Dat heeft de Hoge Raad vrijdag geoordeeld. Dit arrest maakt het de fiscus heel moeilijk leaserijders te betrappen op liegen over hun autogebruik.
(...)
De Hoge Raad vindt dat de Belastingdienst met de cameracontrole te veel inbreuk maakt op het privéleven van de betrokkenen. De Nederlandse wet kent geen grondslag om camerabeelden voor belastingdoeleinden te gebruiken. De Belastingdienst handelt hiermee volgens de Hoge Raad ook in strijd met het Europees verdrag voor de mensenrechten. Het gaat hier namelijk, aldus het arrest, 'niet om één of enkele waarnemingen in de openbare ruimte, maar om het systematisch verzamelen, vastleggen, bewerken en jarenlang bewaren van gegevens over de bewegingen van voertuigen op diverse plaatsen in Nederland'.

Vincent Böhre van Privacy First, een stichting die opkomt voor de privacy van burgers, reageert: 'De Belastingdienst schendt op flagrante wijze de wet. Wat ons betreft komt de Tweede Kamer direct terug van reces om het kabinet ter verantwoording te roepen.'

Böhre roept alle leaserijders die een naheffing hebben gekregen op bezwaar aan te tekenen. Het ministerie van Financiën laat weten dat alleen naheffingen die nog niet onherroepelijk zijn vastgesteld voor bezwaar in aanmerking komen. Hoeveel deze uitspraak de schatkist gaat kosten, is niet bekend. De Autoriteit Persoonsgegevens, die in 2014 al vraagtekens plaatste bij de opsporingsmethode van de Belastingdienst, noemt het arrest 'zowel helder als duidelijk'."

Bron: Volkskrant, zaterdag 25 februari 2017, p. 10.

Gepubliceerd in Privacy First in de media

"AIVD en MIVD kunnen aan de slag met betere bevoegdheden binnen een nieuwe Wet op de Inlichtingen- en Veiligheidsdiensten (Wiv) indien ook de Eerste Kamer akkoord gaat. Dan verzamelt Privacy First een coalitie voor een rechtszaak om dit te voorkomen.

‘Mocht de Wiv ongeschonden door de Eerste Kamer komen, dan volgt er hoogstwaarschijnlijk een bodemprocedure met een brede coalitie van maatschappelijke organisaties en wellicht ook bedrijven. De eerste oriënterende gesprekken tussen Privacy First en relevante advocatenkantoren zijn daartoe reeds gepland’, zegt Vincent Böhre van Privacy First. (...)"

Lees hier het volledige, zeer informatieve artikel: http://www.netkwesties.nl/971/rechtszaak-dreigt-tegen-breed-aangenomen.htm, 15 februari 2017.
Zie ook https://www.computable.nl/artikel/nieuws/security/5955961/250449/tweede-kamer-stemt-in-met-aftapwet.html & https://www.security.nl/posting/503934/Tweede+Kamer+akkoord+met+Wetsvoorstel+veiligheidsdiensten.

Gepubliceerd in Privacy First in de media

"Vandaag bespreekt de Tweede Kamer een wetsvoorstel dat zó ingrijpend is, zó ontoereikend en zó belangrijk, dat het beter is als de Kamer het uitstelt tot na de verkiezingen. Op de nieuwe wet op de Inlichtingen- en Veiligheidsdiensten is in de voorfase al veel kritiek geweest en er zijn al zo veel veranderingen aangebracht dat het wetsvoorstel niet kan overtuigen. Doorslaggevend zijn de breedte en de kwaliteit van de adviezen die onder meer de huidige Commissie van Toezicht op de Inlichtingen en Veiligheidsdiensten (CTIVD) nog onlangs leverde. Maar ook de open brief die 25 academici aan de Kamer schreven weegt zwaar. Die komt bovenop kritische reacties die eerder al de Raad van State en het College Bescherming Persoonsgegevens gaven. En bovenop de alarmkreten uit het veld. Privacy First sprak van een „totalitair voorstel”, Amnesty noemde het „onnodig en zorgelijk”.

Zolang de CTIVD echter stelt dat de voorgestelde onderscheppingsmogelijkheden van digitaal verkeer onvoldoende zijn ingeperkt, dat de belangen van derden onvoldoende meewegen, de omvang van de afgetapte data niet snel genoeg wordt beperkt en de kwaliteit van de dataverzameling onvoldoende zeker is – dan is aanvaarding van zo’n wetsvoorstel eigenlijk niet goed denkbaar. Althans dat zou zo moeten zijn.

Ook de chaotische manier waarop het toezicht op de nieuwe bevoegdheden zal worden geregeld, schept geen vertrouwen. De CTIVD zegt dat het kabinet een „gelaagd en complex stelsel” introduceert, door toetsing, toezicht en klachtbehandeling bij aparte instanties onder te brengen. De 25 academici adviseerden al één gespecialiseerde rechter aan te wijzen en de mogelijkheid te openen een „publieke advocaat” aan te wijzen. Die zou moeten adviseren over aftappen als er zware publieke belangen een rol spelen, of de belangen van verschoningsgerechtigden, zoals advocaten en journalisten in het spel zijn.

Mogelijk nog zwaarder weegt de veel te ruim geformuleerde macht die de veiligheidsdiensten krijgen om grote hoeveelheden communicatiedata in bulk af te tappen, drie jaar (!) op te slaan, te monitoren en vervolgens uit te wisselen met buitenlandse diensten. Dat zoiets in beginsel moet kunnen, is nog wel enigszins te billijken – de tijden van post, telefoon en telegrafie zijn wel voorbij. Maar het is alleen acceptabel als het is ingesnoerd in een stelsel van vernietigingsplichten, scherpe selectie op relevantie en harde eisen aan doel en duidelijkheid. Naar de mening van de meeste deskundigen ontbreekt dat nu. Dan is het geen schande om een dergelijk wetsvoorstel terug te sturen. Of terug te nemen."

Bron: NRC Handelsblad 8 februari 2017, p. 2; NRC Next 8 februari 2017, p. 30. Tevens online beschikbaar op https://www.nrc.nl/nieuws/2017/02/08/wet-inlichtingendiensten-is-even-ingrijpend-als-onrijp-6588317-a1544947.

Gepubliceerd in Privacy First in de media

Op 8 februari as. debatteert de Tweede Kamer met minister Plasterk (Binnenlandse Zaken) over een wetsvoorstel waardoor de privacy van iedereen in Nederland geschonden dreigt te kunnen worden: de nieuwe Wet op de inlichtingen- en veiligheidsdiensten. In dat kader verzond Stichting Privacy First vandaag een kritische brief aan de Tweede Kamer met ons commentaar op het huidige wetsvoorstel. Hieronder volgt de gehele tekst van onze brief (klik HIER voor de originele versie in pdf):

Geachte Kamerleden,

Volgende week zult u met de Minister van Binnenlandse Zaken in debat gaan over een – in onze ogen – uiterst totalitair wetsvoorstel: de nieuwe wet op de inlichtingen- en veiligheidsdiensten (Wiv). Zonder acute urgentie wordt dit wetsvoorstel momenteel onder hoge druk door het parlement behandeld.

Talloze bezwaren van gezaghebbende adviesorganen zoals de Raad van State, de Autoriteit Persoonsgegevens, de Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten (CTIVD), het College voor de Rechten van de Mens, de Raad voor de Rechtspraak en zelfs de continentale Raad van Europa zijn daarbij tot nu toe in de wind geslagen. Waarschuwingen vanuit wetenschap en bedrijfsleven worden structureel genegeerd. Onlangs organiseerde uw Kamer weliswaar een ‘hoorzitting’ rond het wetsvoorstel, maar tegenstanders van het wetsvoorstel waren daarbij niet welkom. Privacy First acht de parlementaire behandeling van dit wetsvoorstel tot op heden dan ook onvoldoende kritisch van opzet.

Wij zullen hieronder onze meest fundamentele bezwaren tegen dit wetsvoorstel daarom opnieuw voor u uiteenzetten en cruciale aanbevelingen doen.

Sleepnetbevoegdheid en bewaartermijn

Onder het huidige wetsvoorstel krijgen AIVD en MIVD de bevoegdheid om het internet grootschalig af te tappen, massaal te monitoren en de vergaarde data jarenlang op te slaan voor eventueel later gebruik of internationale uitwisseling, oftewel een digitaal sleepnet met onvoorzienbare afmetingen, doelen, gevolgen en neveneffecten. In ambtenarenjargon heet deze bevoegdheid “OnderzoeksOpdrachtGerichte interceptie” (OOG). Terecht noemde de Autoriteit Persoonsgegevens dit “het eufemisme van het jaar”. Deze bevoegdheid zal immers het ‘alziende oog’ van de Nederlandse rijksoverheid gaan vormen. Dit past niet in een democratische rechtsstaat.

De internationaalrechtelijk vereiste maatschappelijke noodzaak (art. 8 EVRM) van deze bevoegdheid is tot op heden onaangetoond. Reeds hierom acht Privacy First de invoering ervan onrechtmatig. Naar alle maatstaven is deze bevoegdheid bovendien volstrekt disproportioneel en niet in lijn met het vereiste van subsidiariteit (d.w.z. het verplicht gebruikmaken van het lichtste, meest privacyvriendelijke middel om een legitiem doel te bereiken).

Daarnaast is een dergelijke bevoegdheid tot op heden niet aantoonbaar effectief (laat staan efficiënt) en wellicht juist contra-productief wegens de enorme overload aan irrelevante data. Volstaan zou dan ook kunnen en moeten worden met targeted en tijdelijke surveillance van relevante individuen en groepen, waarbij de rest van de maatschappij met rust gelaten wordt. Dergelijke surveillance dient altijd zo gericht mogelijk te zijn en gepaard te gaan met strikte, bij wet voorziene, concrete waarborgen tegen misbruik. Dergelijke waarborgen ontbreken vrijwel volledig in het huidige wetsvoorstel. Dit wetsvoorstel dient daarom verworpen te worden.

Illegale bewaartermijn

Onlangs oordeelde het Europees Hof van Justitie dat overheden nimmer gerechtigd zijn om data van onschuldige burgers massaal te (laten) verzamelen en op te slaan voor eventueel later gebruik in het veiligheidsdomein.[1] Het Hof baseerde zich hierbij mede op art. 8 EVRM (het recht op privacy). De opslagtermijn van 3 jaar in het huidige wetsvoorstel is hierdoor juridisch onhoudbaar en dient per direct uit het wetsvoorstel te worden geschrapt. Bij gebreke hiervan verwacht Privacy First dat deze bewaartermijn (evenals de massale tapbevoegdheid zelf) door het Europees Hof voor de Rechten van de Mens onrechtmatig verklaard zal worden.

Internationale uitwisseling van bulk-data

Privacy First herhaalt hierbij haar fundamentele bezwaar tegen internationale uitwisseling van ongeëvalueerde bulk-data. Dergelijke uitwisseling overschrijdt alle juridische, ethische en morele grenzen, in elk geval waar het de data van een onschuldige burgerbevolking betreft. Privacy First verwacht dan ook dat deze bevoegdheid geen stand zal houden bij een internationale of Europese rechter en dringt er hierbij op aan om deze bevoegdheid te schrappen of grondig in te perken en van extra waarborgen te voorzien, waaronder een bindende rechtmatigheidstoets vooraf per geval.

Binnenkort zal het Hof Den Haag uitspraak doen over de kwestie van internationale uitwisseling tussen geheime diensten in de rechtszaak Burgers tegen Plasterk van Privacy First c.s. tegen de Nederlandse Staat. Tevens hebben Privacy First c.s. als derde partijen geïntervenieerd in de vergelijkbare Britse zaak van Big Brother Watch tegen het Verenigd Koninkrijk bij het Europees Hof voor de Rechten van de Mens. Privacy First ziet de uitspraken van beide hoven met vertrouwen tegemoet.

Databanken van derde partijen

De bevoegdheden tot het opvragen en gebruiken van gegevens zijn in het huidige wetsvoorstel vrijwel onbegrensd. Het voorstel maakt daartoe zelfs directe, automatische toegang tot de databanken van de gehele publieke en private sector (overheid én bedrijfsleven) mogelijk. Bij al deze derde partijen zullen bovendien ook complete databanken opgevraagd kunnen worden. Dit alles ten behoeve van heimelijke koppeling, datamining en profiling, waarmee real-time een uiterst gedetailleerd (zelfs voorspellend) beeld van groepen en individuen kan worden gecreëerd. Privacy First verzoekt uw Kamer hierbij met klem om deze bevoegdheden te schrappen of grondig in te perken en van wettelijke waarborgen tegen misbruik te voorzien, waaronder bindend rechtmatigheidstoezicht vooraf.

Hack-bevoegdheid en decryptiebevel

“De diensten dienen zo gericht mogelijk te werken en niet door middel van decryptie de digitale veiligheid van grote groepen gebruikers te ondermijnen”, zo schrijft de Minister terecht in de nota bij het wetsvoorstel.[2] De bevoegdheid om systemen van onschuldige derden (burgers en bedrijven) te kunnen hacken om zo een target te kunnen bereiken acht Privacy First echter te verregaand. Om deze reden is een dergelijke bevoegdheid in het domein van politie en justitie reeds uit het wetsvoorstel Computercriminaliteit III geschrapt. Niet valt in te zien waarom deze bevoegdheid desondanks wel aan AIVD en MIVD zou moeten toekomen. De huidige (reeds bestaande) bevoegdheid om systemen en communicatie van individuele targets te kunnen hacken acht Privacy First afdoende.

Bedrijven hebben het recht om hun systemen zo in te richten dat aan een decryptiebevel niet kan worden voldaan wegens de technische onmogelijkheid daarvan, bijvoorbeeld door gebrek aan sleutels. In minder democratische tijden en contreien kan dit recht voor bedrijven tevens omslaan in een maatschappelijke plicht, bijvoorbeeld om als bedrijf niet medeplichtig te worden aan onrechtmatige opsporing en vervolging. In de optiek van Privacy First dienen systemen bovendien zodanig te worden ontwikkeld dat hacking vrijwel onmogelijk is en de schade van een eventuele hack altijd zo beperkt mogelijk zal blijven. Privacy by design vergt immers niet louter de beste encryptie maar ook de beste compartimentering. Bovenstaande geldt mede ter verduidelijking van recente ongenuanceerde berichtgeving over het standpunt van Privacy First door de Telegraaf.[3]

Strafbare feiten

Privacy First herhaalt hierbij haar zorg over het feit dat de ongenormeerde bevoegdheid voor agenten om strafbare feiten te mogen plegen ongemoeid wordt gelaten. In de huidige Wiv uit 2002 bestaat de mogelijkheid tot nadere normering middels een Algemene Maatregel van Bestuur (AMvB). De Commissie Dessens adviseerde die AMvB alsnog in te voeren, maar het kabinet maakt dit onmogelijk door de grondslag voor de betreffende AMvB uit de wet te verwijderen. Met een ongewisse politieke toekomst in het verschiet is dit voor de Nederlandse bevolking uiterst onwenselijk en gevaarlijk.

Notificatieplicht

In het huidige wetsvoorstel blijft de notificatieplicht slechts gelden voor individuele burgers en niet (ook) voor organisaties die evengoed targets kunnen zijn geweest. Naar aanleiding van eerdere kritiek hierop van Privacy First stelt de Minister in de memorie van toelichting bij het wetsvoorstel hierover het volgende: “De notificatieplicht vervult een rol in het kader van het bieden van rechtsbescherming aan de burgers tegen inbreuken op enkele specifiek aan hen toekomende grondrechten. De invoering van de notificatieplicht die ook geldt voor organisaties wordt (...) dan ook niet overwogen.”[4] Dit is aperte onzin. Het recht op privacy en (met name) het recht op vertrouwelijke communicatie gelden immers ook voor rechtspersonen en organisaties als zodanig (waaronder stichtingen, verenigingen en bedrijven), zeker in de context van dit wetsvoorstel.

Verschoningsgerechtigden

In het huidige wetsvoorstel krijgen advocaten en journalisten (terecht) extra bescherming middels voorafgaande toetsing door de rechtbank Den Haag bij de inzet van bijzondere bevoegdheden jegens hen. Privacy First adviseert om deze rechterlijke bescherming uit te breiden naar alle groepen verschoningsgerechtigden, waaronder artsen, notarissen en geestelijken. Tevens dient te worden voorzien in aanvullende waarborgen voor journalistieke bronbescherming.

Toezicht

Conform ons eerdere advies is Privacy First in principe positief over het nieuwe bindende rechtmatigheidstoezicht vooraf bij de uitoefening van bevoegdheden door AIVD en MIVD. Privacy First herhaalt hierbij echter dat dergelijke toetsing vooraf dient te gelden bij de uitoefening van álle bijzondere bevoegdheden door de diensten. Al het toezicht vooraf, tijdens en achteraf dient bovendien grondig en volledig te zijn; in geen geval mag sprake blijken van oppervlakkige rubber-stamping of toezichtshiaten. Daarnaast is Privacy First positief over de invoering van bindend klachtrecht voor burgers en organisaties, hetzij bij de nationale Ombudsman, hetzij bij de CTIVD, waarbij Privacy First een voorkeur heeft voor staatsrechtelijke positionering van het klachtinstituut als Hoog College van Staat aangezien dit de onafhankelijkheid ervan versterkt en bestendigt. In navolging van de CTIVD zou Privacy First overigens graag bevestigd zien dat dit klachtrecht ook door relevante maatschappelijke organisaties zal kunnen worden uitgeoefend in het algemeen belang (algemeen-belangactie) en/of namens een specifieke groep personen (groepsactie), ook indien voor die personen een individueel klachtrecht openstaat.[5] Dit is reeds staande praktijk bij de nationale Ombudsman en bevordert de effectiviteit en efficiëntie van de klachtenprocedure. Tevens zou Privacy First graag expliciet bevestigd zien dat deze nieuwe, quasi-rechterlijke procedure niet zal leiden tot niet-ontvankelijkheid van personen en organisaties met betrekking tot vergelijkbare rechtsvragen in relevante procedures bij de rechterlijke macht.

Actieve openbaarheid

Privacy First adviseert opnieuw om het wetsvoorstel alsnog te voorzien van een bepaling ter actieve openbaarmaking van (historische) documenten van de diensten. De praktijk van "declassification and transparency" in andere landen (waaronder voorheen de Verenigde Staten) kan in dit opzicht een bron van inspiratie vormen.

Peaceful use of cyberspace

In de recente nota van de Minister bij het wetsvoorstel schrijft deze dat “voor Defensie cyberspace het vijfde domein voor militair optreden geworden is (naast land, zee, lucht en de ruimte).”[6] Privacy First herinnert u hierbij graag aan het feit dat de ruimte in juridische zin geen militair domein is; hier geldt immers het internationaal recht van peaceful use of outer space. In onze optiek zou in cyberspace een vergelijkbaar internationaal regime van peaceful use dienen te gelden. Als ‘international legal capital’ zou Den Haag zich hier bij uitstek sterk voor kunnen maken.

Wetsvoorstel dient controversieel verklaard te worden

Een wetsvoorstel met een dusdanige (potentiële) impact op onze samenleving dient weldoordacht te zijn en de best mogelijke waarborgen te bevatten tegen onvoorzien gebruik en toekomstig misbruik. Bij het huidige wetsvoorstel is dit niet het geval. Privacy First adviseert u daarom om dit wetsvoorstel te verbeteren of te verwerpen, danwel het gehele wetsvoorstel controversieel te verklaren en het desgewenst alsnog grondig en kritisch te behandelen tijdens een volgende kabinetsperiode. Bij gebreke hiervan behoudt Privacy First zich het recht voor om het huidige wetsvoorstel, zodra van kracht, door de rechter te laten toetsen en onrechtmatig te laten verklaren.

Voor nadere informatie of vragen met betrekking tot bovenstaande is Privacy First te allen tijde bereikbaar op telefoonnummer 020-8100279 of per email: Dit e-mailadres wordt beveiligd tegen spambots. JavaScript dient ingeschakeld te zijn om het te bekijken..

Hoogachtend,

Stichting Privacy First

 

[1] Zie HvJ 21 december 2016, gevoegde zaken C‑203/15 & C‑698/15 (Tele2 Sverige et al.), ECLI:EU:C:2016:970.

[2] Nota naar aanleiding van het verslag, Kamerstukken II 2016-2017, 34588, nr. 18, p. 66.

[3] Zie http://www.telegraaf.nl/binnenland/27260664/__Privacywaakhond_vindt_dat_kraken_WhatsApp _mag__.html (18 december 2016).

[4] Memorie van toelichting bij wet op de inlichtingen- en veiligheidsdiensten, Kamerstukken II 2016-2017, 34588, nr. 3, pp. 241-242.

[5] Zie CTIVD, Zienswijze op het wetsvoorstel voor een nieuwe wet op de inlichtingen- en veiligheidsdiensten d.d. 9 november 2016, Bijlage II (Kwaliteitsverbeteringen), p. 6.

[6] Nota naar aanleiding van het verslag, Kamerstukken II 2016-2017, 34588, nr. 18, p. 11.

Gepubliceerd in Wetgeving

Stichting Privacy First nodigt u graag uit voor haar Nieuwjaarsreceptie! Deze zal plaatsvinden op donderdagavond 19 januari as. op onze kantoorlocatie in Amsterdam. De avond zal grotendeels in het teken staan van de Shared Democracy: na Athene (democratie 1.0) en onze huidige 19e-eeuwse parlementaire democratie (2.0) is het in de optiek van Privacy First hoog tijd voor verdere vernieuwing en burgerparticipatie: Shared Democracy, democratie 3.0! In zijn Nieuwjaarstoespraak zal Privacy First voorzitter Bas Filippini hier onze visie op geven. Vervolgens vertelt ICT-onderzoeker Brenno de Winter over de problemen rond privacy, informatiebeveiliging en de huidige kloof tussen burger en bestuur. In zijn nieuwe boek Digitale Stormvloed legt hij pijnlijk bloot hoe informatiebeveiliging en privacybescherming tekortschieten en hoe we als samenleving kunnen sturen naar werkbare oplossingen.

Hoe kunnen we de Shared Democracy gebruiken om oplossingen te verwezenlijken? Graag gaan wij hierover met u in debat om gezamenlijk tot mogelijke antwoorden te komen, gevolgd door een borrel waar wij samen kunnen proosten op een privacyvriendelijk 2017!

Iedereen is welkom, toegang is gratis. Donaties aan Privacy First worden echter zeer op prijs gesteld. Aanmelden kan via Dit e-mailadres wordt beveiligd tegen spambots. JavaScript dient ingeschakeld te zijn om het te bekijken., maar is niet verplicht.

Datum: donderdag 19 januari 2017, 20.00-22.00u (inloop vanaf 19.30u).
Locatie: Volkshotel, Wibautstraat 150 te Amsterdam (Betonnen Zaal, begane grond). Een routebeschrijving vindt u op www.volkshotel.nl/nl/#locatie.

Klik HIER voor de uitnodiging zoals Privacy First die onlangs aan haar netwerk verzond (pdf). Wilt u voortaan directe uitnodigingen voor onze evenementen ontvangen? Mail ons! Dan voegen wij u toe aan onze mailinglist.

uitnodiging PrivacyFirst jan2017

Gepubliceerd in Evenementen

Privacy First is een politiek neutrale organisatie. Wel is Privacy First altijd graag bereid om met iedere politicus in gesprek te gaan of als spreker op te treden bij een politiek symposium. Daarbij zonderen wij geen enkele persoon of partij uit: de ervaring leert ons juist dat gesprekken of optredens bij onze "privacy-opponenten" vaak wederzijds het meest leerzaam, nuttig en inspirerend zijn. Vaak blijkt er sprake van gedeelde principes, visies en idealen. Zo kreeg Privacy First dit jaar onder meer het podium bij GroenLinks, maar ook bij de SGP Jongeren. Hieronder een voorbeeld van een toespraak die Privacy First voorzitter Bas Filippini eerder dit jaar gaf bij het D66-symposium "Privacy van de 19de naar de 21ste eeuw":


"Een definitie van privacy is niet eenvoudig te geven. Privacy First ziet de definitie van privacy vanuit een democratische rechtsstaat. Voor ons is privacy persoonlijke vrijheid en zodoende de basis van de democratische rechtsstaat. Als het in het klein al niet goed gaat met onze vrijheid, wat is dan het resultaat in het groot?

Tijdens de voorbereidingen voor deze presentatie waren twee zaken belangrijk. Ten eerste is daar de recente Big Brother-brief van minister Van der Steur. Dat is precies de richting waarop het volgens ons niet op moet gaan, want die brief is ingegeven door incidenten en de politieke waan van de dag. Er vond in Brussel een aanslag plaats en vervolgens komt de minister met allerlei voorstellen om de vrijheid nog verder te beknotten en in te perken. Deze brief is op 24 juni naar de Tweede Kamer gestuurd. Eerder dit jaar vergeleek Alexander Pechtold bij Nieuwsuur de privacy-beweging met de anti-houtzagerijbeweging uit de 17de eeuw. Ik dacht dat D66 juist pro privacy was, dan verwacht je zo’n vergelijking niet van de voorman. En voor privacy zijn is dus niet tegen vooruitgang zijn!

Discussies kunnen wel degelijk voor de privacy en voor de vooruitgang worden gevoerd, want dat kan prima samengaan. Sterker nog, als je er goed over nadenkt, dan kun je de rechtsstaat enorm versterken met behulp van technologie. Privacy First pleit voor eigen keuzes in een vrije omgeving. Het is zodoende belangrijk dat die omgeving ook vrij blijft.

De burger nemen wij als zelfstandig individu serieus. 47% van onze bevolking heeft inmiddels minimaal een HBO-opleiding en ook zonder opleiding kunnen burgers grote verantwoordelijkheid aan.

Wij hebben enorme verkeersstromen in Nederland en dat gaat vrijwel altijd goed, omdat wij daaraan meedoen vanuit vertrouwen in elkaar. Wij gaan dus niet uit van wantrouwen. Met vertrouwen gaat het altijd wel goed en valt veel uiteindelijk ook wel mee. Als je de hele dag naar incidenten gaat kijken, bijvoorbeeld als je werkt in een ziekenhuis, dan zie je de hele dag patiënten en wat er mis gaat. Zo werkt dat bij politie en justitie ook een beetje, is onze ervaring. Vervolgens komt er een leverancier van nieuwe technologie en we gaan prachtige speeltjes implementeren en daar moeten we ook nog wat voor organiseren. Dan komt men erachter dat er ook nog wetgeving is of dat sommige technologie helemaal niet voldoet aan de principes van de rechtsstaat. Om dan vervolgens de wetgeving maar aan te passen! Bas Filippini

In een rechtsstaat zoals ik ernaar kijk, zou je eerst moeten kijken naar de principes, dan naar wetgeving, daarna naar de uitvoering en dan pas kijk je naar wat je kunt ondersteunen met slimme technologie. Aansluitend bij Alexander Pechtold, het internet is bij uitstek het platform waar vraag en aanbod bij elkaar kunnen komen. Gebruik als overheid daarom het internet om de actieve participatie van burgers te gaan vergroten. En niet met het platgeslagen uitgangspunt dat een referendum slechts bestaat uit ‘ja’ of nee’. Hebben wij weleens een goede discussie met z’n allen gevoerd over welke typen referenda er zouden kunnen zijn? Welke typen van elektronische burgerparticipatie zouden er mogelijk kunnen zijn? En met welke technieken? Wat zijn de voors en tegens ervan? Als je een ideeënbus hiervoor opent bij een willekeurige krant, dan komen er ook ontzettend veel ideeën van burgers. Hoe vergroot je burgerparticipatie? Kijk ook naar andere landen, kijk ook naar Zwitserland. Daar wordt burgerparticipatie serieus genomen. Daar krijgen de burgers aan het begin van het jaar een hele waslijst om keuzes te maken. Ik zeg niet dat dat het Walhalla is, maar ik vind wel dat je naar alle mogelijkheden moet kijken hoe je informatietechnologie kunt gaan inzetten ter versterking van onze democratie die eigenlijk pas honderd jaar een beetje op ons huidige niveau functioneert. Daarvoor hebben we elkaar tweeduizend jaar de koppen ingeslagen.

Laten wij weer eens kijken naar die waan van de dag. Terrorisme wordt inmiddels gelijkgesteld met criminaliteit in de Big Brother-brief van Van de Steur. Wij zien een enorm glijdende schaal in aanvullingen en uitbreidingen op ingevoerde wetgeving voor terrorisme, de zogenaamde ‘function creep’. Heel veel maatregelen worden in eerste instantie ingevoerd met een legitieme reden. Een crimineel doet iets, maar ik vraag me altijd af hoe vaak dat voorkomt en of alle processen van de organisatie daarvoor moeten worden aangepast. In het bedrijfsleven passen we ook niet de gehele organisatie aan op een enkele uitzondering. Daar zeggen wij dat uitzonderingen de regel bevestigen. Uitzonderingen bevestigen de regel dat wij in onze democratie uitgaan van liefde, vertrouwen en vrijheid in plaats van angst, haat en controle. Ik zie de laatste drie woorden als standaard-pandoer om de democratie aan te tasten.

Even praktisch, want wat staat onder andere in de Big Brother-brief van minister Van der Steur? Dat alle kentekens gedurende vier weken zullen worden opgeslagen. Het is een sleepnetverhaal. Big Data, Internet of Things, dat zijn zaken waar die ministeries blijkbaar toch enorm opgewonden van raken. Maar dat zijn enorme atoombommen voor onze persoonlijke vrijheid die tot gedragsveranderingen kunnen leiden en ‘chilling’ effecten kunnen veroorzaken in de maatschappij. Het lijkt soms net alsof mensen niet goed weten aan welk hendeltje zij eigenlijk trekken. Wij noemen dat ‘goedbedoeld amateurisme’ als je dit soort zaken gaat implementeren.

Verder hebben wij daar het registreren van negatief gedrag, het elimineren van anoniem bellen en nog veel meer. Op basis van allerlei wiskundige formules kunnen wij allerlei bewegingen zien, zoals energieverbruik gekoppeld aan de kentekens in Nederland, waardoor wij precies kunnen zien of jij in het gevarengebied valt. Oftewel of je de volgende bent in het rijtje fraudeurs, mogelijke fraudeurs etcetera. Deze tendens wordt ondersteund door campagnes van het bedrijfsleven dat het ‘cool’ is om met deze zaken bezig te zijn, namelijk het inruilen van je eigen privacy en integriteit voor diensten van de overheid en het bedrijfsleven. Ik vind dat principes die zo basaal voor onze maatschappij zijn, geen ruilmiddel mogen zijn om dienstverlening te krijgen.

Maar denk ook aan discriminatie. Mijn anonieme OV-chipkaart geeft namelijk geen recht op kortingen. Dat is eigenlijk discriminatie van mensen die voor privacy gaan. De drie basisprincipes van liefde, vrijheid en vertrouwen lijken hele softe begrippen, maar als je er goed naar kijkt, dan zijn die begrippen veel harder en veel basaler om juist harde uitvoering te garanderen. Denk ook aan de NSA en de minachting die zij hebben voor de burger, welke als ‘zombies’ uit 1984 worden neergezet. Dat ging niet over spionnen, maar over de eigen burgers. De burger is er dus voor de overheid, terwijl wij dachten dat de overheid er juist voor de burger was. D66 30juni2016 5

Je zult zodoende duidelijke ‘checks and balances’ moeten inzetten, omdat er sprake is van een ongelijk speelveld tussen enerzijds de individuele burger en anderzijds het bedrijfsleven en de overheid met heel veel geld. Wij hebben goede advocaten en voeren regelmatig rechtszaken die handen vol met geld kosten. En dan zie je dus hoe moeilijk het is om als individu zaken te veranderen in een rechtsstaat. Wij pleiten er zodoende ook voor om dat makkelijker te gaan maken.

Wij geloven in onze missie ‘Nederland Privacy Gidsland’. Ik maak graag een vergelijking tussen ‘straat-terrorisme’ en ‘staats-terrorisme’. Dat laatste wordt gerealiseerd door langdurige vrijheidsbeperking in telkens weer nieuwe wetgeving. Het gaat in ‘slices’ en tel je die allemaal bij elkaar op, dan krijg je een heel naar gevoel, een beetje een ongemakkelijk gevoel. Je ziet een elektronische gevangenis, een uitstekende elektronische gevangenis die prachtig is gemaakt en de meest efficiënte ter wereld is. Maar daar hebben wij niet om gevraagd. Mag dat óók?

Hoog tijd dus voor politieke actie. Het is nu tijd voor een echte maatschappelijke discussie over de inzet van hi-tech middelen en platformen én met privacyvriendelijke technologie. En ik denk dat wij daar als Nederland goede sier mee kunnen maken, ook economisch. Want net als bij duurzaamheid is aan privacy geld te verdienen.

Ik denk dus dat actievoeren nieuwe stijl ook bedrijfsmatig kan zijn. Het hoeft niet altijd een lampionnentocht in de Himalaya te zijn, want dat vergeet men vaak de volgende dag. Ik wil de middelen van onze rechtsstaat inzetten en dat zijn niet alleen rechtszaken, maar ook politieke lobby en informele gesprekken vanuit een positieve grondhouding. Wij gaan zodoende voor Nederland Privacy Gidsland in plaats van overal tegen te zijn!"


Onlangs verscheen in het D66-magazine 'Idee' tevens een uitgebreid interview met Privacy First directeur en jurist Vincent Böhre; klik HIER voor het hele interview (pdf).

Gepubliceerd in Columns

De campagne Specifieke Toestemming van Privacy First en het Platform Bescherming Burgerrechten maakt na drie jaar actie de balans op.

Na bijna drie jaar actie te hebben gevoerd tegen de nieuwe EPD-wet van minister Schippers, mag onze campagne Specifieke Toestemming een bescheiden maar belangrijk succes vieren. De wet waartegen we hebben gelobbyd, is tot onze spijt aangenomen. Er zijn echter een aantal belangrijke lichtpunten, en nog meer redenen om de komende tijd deze wet en haar gevolgen zeer kritisch te blijven volgen. We beginnen met de lichtpunten:

Onze campagnemissie kreeg brede steun van maatschappelijke organisaties en academici

Een groot aantal maatschappelijke organisaties en academici op het gebied van privacy, ICT en gezondheidszorg onderschrijft de missie van onze campagne al sinds haar lancering. Die brede steun laat zien dat vele organisaties en personen met deskundigheid en statuur onze zorgen delen. Ons standpunt is dan ook verre van controversieel: we strijden om de rechten die patiënten al sinds vanouds hebben in de zorg ook te waarborgen bij het digitaal uitwisselen van medische gegevens. We zijn desalniettemin trots dat we al die tijd namens een grote en relevante groep onze boodschap onder de aandacht hebben kunnen brengen.

We hebben de politieke discussie over patiëntprivacy en toestemming op scherp gesteld

Vanaf haar lancering heeft Specifieke Toestemming een zeer duidelijk onderscheid gemaakt tussen specifieke, rechtmatige toestemming zoals die is vastgelegd in privacywetgeving en mensenrechtenverdragen, en de brede, generieke toestemming die minister Schippers mogelijk wilde maken met dit wetsvoorstel. Daarmee hebben we een belangrijke invloed gehad op hoe er over deze wet is gediscussieerd. Regelmatig werd onze input aangehaald in debatten die Eerste en Tweede Kamerleden met de minister voerden. Ook waren we deel van het expertpanel waarmee de Eerste Kamer in april dit jaar een hoorzitting organiseerde over de privacy-aspecten van de nieuwe EPD-wet.

Voor het eerst sinds de verwerping van het Elektronisch Patiëntendossier (EPD) werd weer een stevig inhoudelijk debat over patiëntprivacy gevoerd. We hopen dat onze campagne een basis heeft gelegd voor een duurzame discussie over hoe vertrouwelijkheid in de zorg in het digitale tijdperk dient te worden gewaarborgd.

Dankzij een cruciale motie blijven privacyvriendelijke alternatieve systemen mogelijk

Met de aanname van de motie-Teunissen, waarvoor we in de laatste dagen van het wetgevingstraject hard hebben gelobbyd, kunnen alternatieve systemen naast het Landelijk Schakelpunt (LSP) blijven bestaan. De regering wordt in de motie verzocht “ervoor zorg te dragen dat toegang tot het medisch dossier niet alleen gecentraliseerd, maar ook decentraal mogelijk zal blijven.”

Er zitten grote risico’s aan een centraal toegangssysteem zoals het LSP, zo waarschuwden hoogleraren tijdens de expertmeetings in de Eerste Kamer. Met de motie-Teunissen blijft het mogelijk om bij elke zorgverlener apart te kunnen aangeven welke gegevens deze met welke andere zorgverleners mag delen – zonder dat dit aan een centraal systeem zoals het LSP is verbonden. Zo voorkom je als patiënt dat je toestemmingen (en dus ook informatie over welke zorgverleners je bezoekt) in een landelijk register worden opgeslagen en blijven ze alleen bij de zorgverlener bewaard.

Er zal uiteraard krachtig op moeten worden toegezien dat de motie ook echt vorm krijgt en uitgevoerd wordt.

Helaas zijn er weinig echte lichtpunten te melden:

In zijn algemeenheid is deze wet een privacydraak die de patiëntprivacy en het medisch beroepsgeheim ondermijnt. Hieronder lichten we toe waarom, en waarop we de komende tijd strak moeten gaan letten.

De “gespecificeerde toestemming” die patiënten straks moeten geven is onbegrijpelijk

Deze wet introduceert een problematische vorm van toestemming: gespecificeerde toestemming. Anders dan de naam doet vermoeden, is deze vorm van toestemming weinig specifiek. Het kan alles betekenen van een ongerichte toestemming om tienduizenden zorgverleners in Nederland inzage in je dossier te geven, tot het beschikbaar stellen van een doktersrecept voor de apotheker om de hoek.

Gespecificeerde toestemming creëert de mogelijkheid om patiënten een vage toestemmingsvraag te stellen met onoverzichtelijke gevolgen. Een voorbeeld daarvan kan nu al worden gevonden in de folders die VZVZ verspreidt voor deelname aan het LSP. Mensen worden geregeld een opt-in formulier onder de neus geschoven met het verzoek te tekenen omdat anders de medicatieveiligheid niet gegarandeerd zou kunnen worden. Vergelijkbare risico’s voorzien we voor het nog te introduceren online patiëntenportaal, waarmee patiënten straks zelf de regie zouden moeten voeren over wie hun medische gegevens kunnen inzien. Hoe geïnformeerd is de toestemming die patiënten geven? Hoe wordt voorkomen dat men uit onwetendheid of “voor de zekerheid” maar een brede, ongerichte toestemming geeft? De praktijk van “gespecificeerde toestemming” zal scherp in de gaten gehouden moeten worden.

Overigens staat nog niet eens vast of de patiënt in de praktijk echt zo’n specifieke keus zal kunnen maken. De minister heeft het er zelf vooral over dat toestemming gegeven moet kunnen worden voor categorieën van zorgverleners. De huidige systemen (lees: het LSP) zijn niet uitgerust om iets anders dan generieke toestemming te geven en ICT-partijen en zorgkoepels moeten de komende drie jaar “gespecificeerde toestemming” vormgeven en implementeren – tot nog toe lijken deze partijen de toestemming steeds zo ruim mogelijk te willen maken. We bevelen de Tweede Kamer daarom met klem aan om dit traject kritisch te volgen. Om te voldoen aan de motie-Bredenoord (D66) zouden zowel de juridische uitwerking van “gespecificeerde toestemming” als de implementatie ervan onderwerp moeten zijn van Privacy Impact Assessments en de eisen zoals geformuleerd in de motie-Franken (2011).

De komende drie jaar wordt het uit de wet geschrapte Generieke Toestemming gedoogd

In de drie jaar dat “gespecificeerde toestemming” moet worden uitgewerkt en geïmplementeerd, wil de minister dat patiënten generieke toestemming kunnen geven: de toestemmingsvorm die de Tweede Kamer juist uit het wetsvoorstel schrapte. Dit plan diende minister Schippers zelf nog in tijdens de behandeling in de Senaat. Een kwalijke zaak waartegen Specifieke Toestemming fel heeft geageerd.

Hierdoor krijgt het LSP, dat zo ongeveer alles waartegen Specifieke Toestemming campagne voert in de praktijk brengt, ruim baan. Ook zullen de generieke toestemmingen die in de komende drie jaar worden gegeven naderhand geldig blijven. In de praktijk zal dit plan er dan ook op neerkomen dat VZVZ deze periode kan gebruiken om zoveel mogelijk patiënten met een brede generieke toestemming te laten deelnemen aan het LSP. De monopoliepositie van dit systeem zal dan binnen niet al te lange tijd een voldongen feit zijn.

Specifieke toestemming blijft echter een fundamenteel recht, vastgelegd in artikel 8 van het EVRM. Daar verandert de invoering van bredere toestemmingsvormen niets aan. Daarom is het ook zo kwalijk dat het LSP, een systeem dat enkel met generieke toestemming werkt, nu vrij doorgang krijgt. Er moet op worden toegezien dat ook na de invoering van dit wetsvoorstel het mogelijk blijft om specifiek toestemming te verlenen. Om dat recht op te eisen, is het nog steeds mogelijk om vanaf de website van Specifieke Toestemming een zeggenschapsbrief naar uw zorgverlener te sturen.

Het digitaal inzage- en afschriftrecht verklaart de patiëntprivacy vogelvrij

Tot slot hebben we grote bedenkingen bij het nieuwe recht van de patiënt om online een kopie van het medisch dossier te downloaden of dit in één keer te uploaden naar de cloud. Zonder de dossierhoudend arts (die een beroepsgeheim heeft) als tussenpersoon lopen patiënten een groot risico om hun medische gegevens zonder veel nadenken, met een druk op de knop af te staan aan partijen die niet gebonden zijn aan het beroepsgeheim. Zowel de LHV als de KNMG hebben reeds aangegeven grote risico’s te zien in een dergelijke achterdeur naar het medisch dossier.

De Tweede Kamer zou de implementatie van het online patiëntenportaal, dat ook toegang gaat geven tot de digitale kopie van het medisch dossier, daarom ook zeer kritisch moeten volgen.

Andere zaken om de komende tijd in de gaten te houden:

VP Huisartsen voert een rechtszaak tegen de landelijke uitrol van het LSP. De bodemprocedure startte in 2014 en momenteel loopt de cassatiezaak bij de Hoge Raad. In deze zaak speelt ook de toestemming die patiënten in het LSP kunnen geven een belangrijke rol.

Wetsvoorstel 33980 geeft zorgverzekeraars de bevoegdheid om bij een vermoeden van fraude het medisch dossier bij zorgverleners op te eisen. Dit alles zonder voorafgaande toestemming van de patiënt. Een onnodige en disproportionele inbreuk op de patiëntprivacy. PrivacyBarometer heeft een brievenactie waaraan iedereen zou moeten meedoen.

De Autoriteit Persoonsgegevens (AP) moet intensiever toezien op de uitwisseling van medische gegevens, zo stelt een motie van de Eerste Kamer. We maken ons echter grote zorgen over hoe de toezichthouder deze taak inhoudelijk zal opvatten. In de afgelopen jaren heeft de AP juist het LSP gefaciliteerd, door goedkeuring te verlenen aan de private uitrol van het systeem.

Gepubliceerd in Medische privacy
Pagina 3 van 20

Onze Partners

logo Voys Privacyfirst
logo greenhost
logo platfrm
logo AKBA
logo boekx
logo brandeis
 
banner ned 1024px1
logo demomedia
 
 
 
 
 
Pro Bono Connect logo 100
IIR banner

Volg ons via Twitter

twitter icon

Volg onze RSS-feed

rss icon

Volg ons op LinkedIn

linked in icon

Volg ons op Facebook

facebook icon